Escalada de Privilegios a Root en el Complemento LiteSpeed User-End para cPanel

El fallo técnico se localiza específicamente en la función interna "lsws.redisAble", la cual gestiona la habilitación y deshabilitación de las características de Redis. Debido a un manejo inadecuado y a una validación deficiente de los contextos de ejecución, un atacante que posea acceso básico a una cuenta de hosting web o un cliente malicioso dentro de un servidor compartido puede invocar esta función a través de la API estándar de JSON de cPanel de forma malintencionada. Esto le permite saltar las restricciones de aislamiento del entorno (sandbox) y ejecutar comandos o scripts arbitrarios con privilegios elevados del sistema operativo, logrando una escalada total a privilegios de superusuario (root) sobre el servidor afectado.

A los administradores de sistemas y proveedores de hosting a aplicar las actualizaciones de seguridad del fabricante, migrando el complemento como mínimo a la versión 2.4.7 o superior.

https://nvd.nist.gov/vuln/detail/CVE-2026-48172