Qualquer cliente de hosting compartilhado pode virar root no servidor inteiro. O CVE-2026-48172 no LiteSpeed cPanel Plugin alcançou CVSS v4.0 10.0 — pontuação máxima — e já está em exploração ativa. Na Tech86, acompanhamos essa vulnerabilidade de perto porque ela expõe uma falha estrutural do modelo de hosting compartilhado: quando qualquer tenant escala para root, o isolamento entre clientes deixa de existir.
O bug: root para qualquer tenant
A função lsws.redisAble no plugin do LiteSpeed para cPanel executa scripts arbitrários com privilégios de root. Qualquer usuário autenticado do cPanel pode invocá-la, independente do nível de privilégio da conta.
Não é sandbox. Não é escalonamento limitado. É root na máquina — o mesmo root que acessa repositórios, bancos de dados e credenciais de todos os outros clientes hospedados no servidor. A função deveria validar permissões antes de executar. Não validava. Qualquer conta cPanel, do plano mais básico ao revendedor, tinha acesso direto.
O vetor CVSS v4.0 é AV:N/AC:L/AT:N/PR:N/UI:N. Em termos práticos: acesso pela rede, complexidade baixa, sem necessidade de privilégios especiais, sem interação do usuário. No contexto de hosting compartilhado, qualquer conta cPanel basta — incluindo a do plano mais barato ou uma conta que foi comprometida por phishing. A barreira entre "meu site" e "o servidor inteiro" simplesmente não existia para essa função.
Exploração ativa e cronologia
A cronologia mostra quão rápido o ecossistema se moveu:
- 19 de maio: David Strydom reporta a vulnerabilidade ao LiteSpeed
- 19 de maio: LiteSpeed envia correção no mesmo dia
- 21 de maio: Advisory público. Exploração ativa confirmada. Scanners automatizados começaram horas após a publicação
- 26 de maio: CISA adiciona ao Known Exploited Vulnerabilities (KEV) catalog com prazo de 16 de junho para aplicação
O vendor respondeu rápido — correção no mesmo dia do report. Mas a distribuição do patch pelo ecossistema de hosting não é automática. Provedores de hosting precisam atualizar manualmente cada servidor. Dias depois do advisory, servidores ainda rodavam o plugin vulnerável. Scanners oportunísticos atingem cada host alcançável. Um servidor sem patch é suficiente.
A janela entre o advisory (21 de maio) e a listagem pela CISA (26 de maio) foi de cinco dias. Cinco dias com exploração ativa confirmada e milhares de servidores potencialmente desatualizados. Para empresas em hosting compartilhado, esses cinco dias representam uma janela de exposição que não pode ser controlada — você não gerencia o servidor, não aplica o patch, não monitora os logs.
Com root no servidor, atacantes podem: acessar repositórios privados de todos os clientes, fazer dump de credenciais (hashes, API tokens, chaves SSH, segredos 2FA), pivotar para outros sistemas da rede, modificar código de qualquer repositório hospedado e deployar ransomware. Um tenant comprometido compromete todos os outros na mesma máquina. A escala do impacto é proporcional ao número de tenants — em servidores de hosting compartilhado, isso pode significar centenas de sites afetados por uma única exploração.
O patch e a mitigação
A correção definitiva exige duas atualizações: WHM Plugin 5.3.1.0 e cPanel Plugin 2.4.7. Versões anteriores são mitigação parcial.
Se não é possível aplicar o patch imediatamente, a mitigação é desinstalar o User-End cPanel Plugin. Isso remove a função lsws.redisAble da superfície de ataque acessível por tenants. Há perda de funcionalidade, mas um host comprometido com root access é infinitamente pior do que um plugin desabilitado.
A auditoria deve cobrir a frota inteira. Não basta corrigir um servidor — em ambientes de hosting compartilhado, cada máquina exposta é um vetor independente. Para empresas que não gerenciam seus próprios servidores, a única ação possível é pressionar o provedor para confirmar a aplicação do patch e, idealmente, solicitar evidência de que não houve comprometimento antes da correção.
O prazo da CISA é 16 de junho. Para organizações federais americanas, isso é obrigatório. Para empresas brasileiras em hosting compartilhado, o risco é o mesmo — a vulnerabilidade não discrimina por jurisdição.
Hosting compartilhado quebra por design
Esse CVE não é um incidente isolado — é sintoma de um problema estrutural. Hosting compartilhado depende de isolamento entre tenants. Quando um bug escala qualquer tenant para root, o modelo quebra por design.
A premissa do hosting compartilhado é que múltiplos clientes compartilham o mesmo kernel, o mesmo filesystem e o mesmo processo de web server, confiando que permissões de usuário e configurações de cPanel impedem acesso cruzado. Um único bug de escalonamento de privilégio invalida toda essa premissa. E bugs de escalonamento não são raros — são uma categoria recorrente de vulnerabilidade em sistemas Linux.
O problema não é específico do LiteSpeed. Qualquer componente que execute operações privilegiadas em nome de usuários não-confiáveis é um candidato a esse tipo de falha. No hosting compartilhado, a superfície de ataque é multiplicada pelo número de tenants. Cada conta cPanel é um potencial ponto de entrada. Cada plugin instalado no servidor é uma potencial fonte de escalonamento.
Se sua empresa roda em hosting compartilhado com LiteSpeed, você depende de duas coisas que não pode verificar: que o provedor aplicou o patch, e que nenhum outro cliente foi comprometido antes do patch. A segunda condição é especialmente crítica — se um atacante obteve root antes da correção, ele já tem persistência no servidor. Backdoors em nível de kernel são difíceis de detectar e podem sobreviver a reinstalações de software.
Isolamento real é a resposta
Na Tech86, ajudamos empresas a migrar de hosting compartilhado para infraestrutura cloud-native com isolamento real entre tenants. Cada ambiente roda em sua própria camada de isolamento — sem root compartilhado, sem depender do patch do vizinho.
Cloud hosting com isolamento por contêiner ou VM significa que um comprometimento em um ambiente não se propaga para os demais. A superfície de ataque de um tenant não inclui o kernel ou o filesystem dos outros. Quando o próximo CVE de escalonamento de privilégio aparecer — e ele vai aparecer — o blast radius é contido.
Na prática, isso significa que mesmo que um atacante encontre uma vulnerabilidade equivalente em um ambiente cloud com isolamento real, o dano fica confinado a um único tenant. Os demais continuam operando normalmente. Não há efeito cascata. Não há comprometimento coletivo.
O CVE-2026-48172 é um lembrete claro: em hosting compartilhado, a segurança do seu negócio depende da segurança do vizinho. Se essa dependência não é aceitável, é hora de considerar infraestrutura com isolamento real.