Les semaines se suivent et se ressemblent pour cPanel et WHM, alors que de nouvelles failles de sécurité ont été découvertes dans les populaires panneaux de contrôle d’hébergement web. Ce sont désormais des dizaines de vulnérabilités qui ont été découvertes en un peu plus d’un mois. L’équipe de Webpros qui développe les deux logiciels devra donc redoubler d’efforts afin de les sécuriser et maintenir la confiance des utilisateurs.
Cette menace est particulièrement importante pour les fournisseurs d’hébergement partagé exécutant LiteSpeed avec le panneau de contrôle cPanel. CVE-2026-48172 a été activement exploitée seulement quelques heures après avoir été divulguée. Elle permet à tout utilisateur de cPanel authentifié d’exécuter des scripts arbitraires en tant qu’administrateur root sur l’hôte sous-jacent.
Un seul locataire compromis contamine alors tous les autres clients sur la même machine. La vulnérabilité figure dans le catalogue CISA des vulnérabilités dont l’exploitation est confirmée. L’organisme a fixée une échéance de correction au 16 juin 2026. Les opérateurs partagés de cPanel utilisant des serveurs LiteSpeed ne peuvent toutefois pas attendre aussi longtemps.
Nous avons couvert récemment les précédentes failles de sécurité de cPanel et les correctifs qui ont permis de les adresser. Abordons maintenant cette nouvelle menace et ce qu’elle implique pour l’industrie de l’hébergement web.
Que fait la nouvelle faille de sécurité découverte dans cPanel?
Le défaut est dans la fonction lsws.redisAble. Celle-ci gère les opérations d’activation et de désactivation de Redis à l’intérieur du plugin. La fonction peut actuellement être invoquée par n’importe quel utilisateur cPanel authentifié. Et ce, quel que soit son niveau de privilège.
Lorsqu’elle est appelé, la fonction exécute des scripts arbitraires avec des privilèges de niveau racine sur le serveur sous-jacent. Un seul compte d’hébergement partagé compromis suffit donc pour l’exploiter et prendre le contrôle total de la machine hôte. Elle affecte alors tous les autres clients hébergés sur le même serveur.
Le vecteur CVSS v4.0 est AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H : . Cela signifie: accessible en réseau, sans complexité, sans privilèges spéciaux requis et sans interaction de l’utilisateur. Il compromet donc complètement le système cible et les systèmes en aval.
Le score PR:N indique que l’attaquant n’a pas besoin d’accès administrateur ou de rôle élevé pour exploiter la faille. Pour les hébergements partagés, cela signifie généralement que n’importe quel compte cPanel standard sur le serveur est suffisant pour en prendre le contrôle complet.
Étendue de la vulnérabilité et correctif de sécurité
Les versions affectées sont LiteSpeed User-End cPanel Plugin 2.3 à 2.4.4. Le plugin WHM LiteSpeed, pour sa part, n’est pas affecté. LiteSpeed a initialement publié une correction partielle dans cPanel Plugin v2.4.5. L’équipe de développement a ensuite publié une solution plus complète en tant que WHM Plugin 5.3.1.0 livré avec cPanel Plugin 2.4.7 après avoir examiné les vecteurs d’attaque supplémentaires.
Les versions 2.4.5 et WHM Plugin 5.2.10 fournissent en ce moment uniquement une atténuation partielle. La version entièrement corrigée est plutôt WHM Plugin 5.3.1.0 / cPanel Plugin 2.4.7.
Si un correctif immédiat n’est pas possible, une solution transitoire existe néanmoins. Elle consiste à désinstaller entièrement le composant vulnérable :
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
Vous pouvez aussi vérifier si l’exploitation a été tentée sur un serveur avec le script suivant :
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/
Ces solutions partielles peuvent vous permettre de surveiller la situation et d’atténuer les risques en attendant un correctif complet.
Pour conclure sur les nouvelles failles de sécurité découvertes dans cPanel et WHM
Les dernières semaines ont révélées de nombreuses failles de sécurité au sein de nombreux outils clés, dont cPanel, WHM, Apache, Nginx et Linux. Les deux panneaux de configuration développés par Webpros ont toutefois subis bien plus de correctifs que les autres plateformes au cours du dernier mois.
Le rythme accéléré auquel sont désormais découvertes les vulnérabilités a engendré de nombreuses rumeurs sur l’origine des détections. De nombreux internautes y voit l’implication de Claude, l’IA développée par Anthropic. Sa dernière version décrite comme “capable de piraté plus de 80% de tous les sites web actifs” pourrait avoir contribué à mettre à jour les multiples failles en cours de correction.
Nous espérons que cet article vous a plus et vous a éclairé sur les nouvelles failles de sécurité mises à jour dans cPanel et WHM. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.
