ช่องโหว่ด้านความปลอดภัยระดับร้ายแรงที่สุด (CVSS 10.0) ในปลั๊กอิน LiteSpeed บน cPanel ได้กลายเป็นเป้าหมายของการโจมตีในโลกความเป็นจริงอย่างรวดเร็ว ช่องโหว่ดังกล่าวซึ่งถูกระบุชื่อว่า CVE-2026-48172 เกิดจากการกำหนดสิทธิ์การใช้งานที่ไม่ถูกต้อง (Incorrect Privilege Assignment) ทำให้ผู้โจมตีสามารถละเมิดเพื่อรันสคริปต์ใดๆ ก็ได้ด้วยสิทธิ์พิเศษระดับสูงสุดบนเซิร์ฟเวอร์

สิ่งที่น่ากังวลเป็นพิเศษคือช่องโหว่นี้ไม่จำเป็นต้องใช้สิทธิ์ของผู้ดูแลระบบในการเรียกใช้งาน ผู้ใช้ cPanel ทั่วไป ไม่ว่าจะเป็นแฮ็กเกอร์ที่ลงทะเบียนบัญชีใหม่ หรือบัญชีที่ถูกโจมตีหรือถูกบุกรุกจากช่องทางอื่นแล้ว สามารถใช้ช่องโหว่นี้เพื่อยกระดับสิทธิ์ (Privilege Escalation) ขึ้นไปเป็น Root ได้ทันที ซึ่งเท่ากับเปิดช่องทางให้ควบคุมระบบทั้งหมดได้อย่างเต็มที่

เหตุการณ์นี้เน้นย้ำถึงความเสี่ยงด้านความปลอดภัยเชิงโซ่ (Supply Chain Risk) ที่อาจเกิดขึ้นจากปลั๊กอินหรือส่วนเสริมของบุคคลที่สามในระบบHosting ดังนั้น ผู้ดูแลระบบที่ใช้งาน LiteSpeed ร่วมกับ cPanel จึงควรรีบตรวจสอบเวอร์ชันและปรับปรุงระบบ (Update) ทันที เพื่อปิดช่องโหว่และป้องกันการถูกเข้าควบคุมเซิร์ฟเวอร์

คำศัพท์เทคนิคที่น่าสนใจ

• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสำหรับช่องโหว่และการเปิดเผยด้านความปลอดภัยที่รู้จักกันทั่วไป
• CVSS (Common Vulnerability Scoring System) – กรอบการให้คะแนนเพื่อประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัย มีคะแนนตั้งแต่ 0.0 ถึง 10.0
• Root – บัญชีผู้ใช้ระดับสูงสุดบนระบบปฏิบัติการลินุกซ์ที่มีสิทธิ์เข้าถึงและควบคุมทุกส่วนของระบบได้โดยไม่มีข้อจำกัด
• Privilege Escalation – การยกระดับสิทธิ์ ซึ่งเป็นการโจมตีที่ผู้โจมตีได้รับสิทธิ์การเข้าถึงที่สูงขึ้นกว่าที่ได้รับมาอย่างถูกกฎหมาย เช่น จากผู้ใช้ธรรมดาเป็นผู้ดูแลระบบ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html