ช่องโหว่ความปลอดภัยระดับร้ายแรงที่สุด (CVSS 10.0) ในปลั๊กอิน LiteSpeed User-End สำหรับ cPanel กำลังถูกผู้ไม่ประสงค์ดีลักลอบนำไปใช้ประโยชน์ในโลกไซเบอร์จริง ช่องโหว่ดังกล่าวซึ่งถูกระบุชื่อว่า CVE-2026-48172 เกิดจากการกำหนดสิทธิ์การใช้งานที่ไม่ถูกต้อง (Incorrect Privilege Assignment) ทำให้ผู้โจมตีสามารถละเมิดเพื่อรันสคริปต์ใดๆ ด้วยสิทธิ์การเข้าถึงระดับสูงสุดบนเซิร์ฟเวอร์ได้

จากรายละเอียดทางเทคนิคระบุว่า ผู้ใช้ cPanel คนใดก็ตาม รวมถึงบัญชีที่ถูกบุกรุกหรือบัญชีของผู้โจมตีเอง สามารถใช้ช่องโหว่นี้ได้ ซึ่งถือเป็นเรื่องน่ากังวลอย่างยิ่งเนื่องจากในระบบ cPanel ทั่วไป ผู้ใช้ปกติจะไม่มีสิทธิ์ระดับ Root การที่ช่องโหว่นี้ทำให้สามารถยกระดับสิทธิ์ (Privilege Escalation) มาเป็น Root ได้ หมายความว่าผู้โจมตีจะสามารถควบคุมเซิร์ฟเวอร์ทั้งหมด ติดตั้งมัลแวร์ หรือลบข้อมูลได้ทันที

เหตุการณ์นี้เน้นย้ำถึงความเร่งด่วนในการอัปเดตหรือแพตช์ระบบสำหรับผู้ดูแลเซิร์ฟเวอร์ที่ใช้ปลั๊กอิน LiteSpeed ร่วมกับ cPanel การละเลยการแก้ไขช่องโหว่ระดับ 10.0 ที่ถูกนำไปใช้แล้วในขณะนี้ อาจส่งผลให้เซิร์ฟเวอร์ตกเป็นเหยื่อและถูกควบคุมโดยกลุ่มผู้ไม่ประสงค์ดีได้โดยง่าย

คำศัพท์เทคนิคที่น่าสนใจ

• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสำหรับช่องโหว่ความปลอดภัยที่ถูกต้องตามกฎหมายและเป็นสาธารณะ
• CVSS (Common Vulnerability Scoring System) – กรอบการให้คะแนนเพื่อวัดความรุนแรงของช่องโหว่ความปลอดภัย ซึ่ง 10.0 คือคะแนนสูงสุดที่แสดงถึงความเสี่ยงร้ายแรงที่สุด
• Root – บัญชีผู้ใช้ระดับสูงสุดบนระบบปฏิบัติการแบบ Unix/Linux ที่มีสิทธิ์ควบคุมระบบทั้งหมดโดยไม่มีข้อจำกัด
• Privilege Escalation – การยกระดับสิทธิ์ ซึ่งเป็นเทคนิคที่ผู้โจมตีใช้เพื่อเข้าถึงทรัพยากรที่ปกติจะไม่ได้รับอนุญาต โดยเฉพาะการเปลี่ยนจากผู้ใช้ทั่วไปไปเป็นผู้ดูแลระบบ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html