LiteSpeed cPanelプラグインに権限昇格(CVE-2026-48172)— 一般cPanel利用者がroot権限を取得
WebサーバLiteSpeed用のcPanelプラグインに権限昇格の脆弱性。任意のcPanel利用者アカウントが、root権限で任意スクリプトを実行しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 9.8 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-48172
- CVSS基本値9.8 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)LiteSpeed cPanel Plugin
- CWECWE-266
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-05-29(米連邦民生機関・BOD 22-01)
要点
CVE-2026-48172は、LiteSpeed cPanel Plugin(高速WebサーバLiteSpeedを、レンタルサーバの管理画面として広く使われるcPanelから操作するためのプラグイン)に存在する権限昇格(CWE-266=不適切な権限の割り当て)の脆弱性だ。
公開情報によれば、この脆弱性は利用者向けのcPanelプラグインを通じて露出しており、任意のcPanel利用者アカウントがroot権限で任意のスクリプトを実行できる。つまり、本来は自分の領域しか操作できないはずの一般利用者が、サーバの最上位権限を奪える。
共有ホスティング(1台のサーバに多数の利用者・サイトが同居する形態)でこれが起きると深刻だ。攻撃者は安価なアカウントを1つ取得するだけでroot権限を得て、同じサーバ上の他の全利用者のデータやサイトにアクセスできてしまう。機密性・完全性・可用性のすべてに重大な影響が及ぶ。
【対応の要点】LiteSpeed公式情報を確認し、影響を受けるプラグインのバージョンを特定して安全なバージョンへ更新する。CISAは連邦民生機関に2026年5月29日までの是正を義務付けた。ホスティング事業者・サーバ管理者は、プラグインの更新に加え、不審なスクリプト実行や権限昇格の痕跡がないかをサーバログで点検することが推奨される。
なぜ重要か
レンタルサーバ/共有ホスティング事業者と、その上で運用される多数のサイトに広く影響しうる。安価な一般アカウントからroot権限を奪える点が重大で、プラグインの即時更新とサーバ全体の侵害痕跡点検が要点。多テナント環境の権限分離の重要性を示す。
よくある質問(FAQ)
cPanelとLiteSpeedとは何ですか?
権限昇格とは?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。