มีรายงานการพบช่องโหว่ด้านความปลอดภัยระดับรุนแรงสูงสุด (CVSS 10.0) ในปลั๊กอิน LiteSpeed สำหรับผู้ใช้ปลายทางบน cPanel ที่กำลังถูกผู้ไม่ประสงค์ดีนำไปใช้ประโยชน์ในโลกความเป็นจริงอย่างแพร่หลาย ช่องโหว่ดังกล่าวมีรหัสติดตามว่า CVE-2026-48172 ซึ่งเกิดจากการกำหนดสิทธิ์การใช้งานที่ไม่ถูกต้อง (Incorrect Privilege Assignment)

ปัญหานี้ทำให้ผู้โจมตีสามารถละเมิดระบบเพื่อรันสคริปต์หรือคำสั่ง任意ใดๆ ด้วยสิทธิ์การเข้าถึงระดับสูงสุด (Elevated Permissions) หรือในฐานะ Root ได้ โดยข้อสังเกตสำคัญคือ ผู้ใช้ cPanel รายใดก็ตาม ไม่ว่าจะเป็นผู้ใช้ที่ถูกบัญชีถูกบุกรุก หรือแม้แต่ผู้โจมตีที่ได้รับสิทธิ์ผู้ใช้ระดับปกติ ก็สามารถกระทำการแทรกแซงระบบเซิร์ฟเวอร์ได้ทันที

การถูกเพิ่มพลวัต (Actively Exploited) ในครั้งนี้ถือเป็นภัยคุกคามที่ร้ายแรงมากสำหรับเว็บโฮสติ้งและผู้ดูแลระบบเซิร์ฟเวอร์ เนื่องจากการได้สิทธิ์ Root จะทำให้ผู้โจมตีควบคุมเซิร์ฟเวอร์ได้อย่างเต็มรูปแบบ จึงแนะนำให้ผู้ใช้งานรีบตรวจสอบและอัปเดตปลั๊กอิน LiteSpeed บนระบบ cPanel ของตนให้เป็นเวอร์ชันล่าสุดที่แก้ไขช่องโหว่นี้แล้วทันที

คำศัพท์เทคนิคที่น่าสนใจ

• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุและติดตามช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์หรือฮาร์ดแวร์อย่างเป็นระบบ
• CVSS (Common Vulnerability Scoring System) – กรอบการให้คะแนนมาตรฐานเพื่อวัดระดับความรุนแรงของช่องโหว่ด้านความปลอดภัย ซึ่งมีคะแนนตั้งแต่ 0.0 ถึง 10.0
• Root – บัญชีผู้ใช้ระดับสูงสุดบนระบบปฏิบัติการลินุกซ์และยูนิกซ์ที่มีสิทธิ์เข้าถึงและควบคุมทุกส่วนของระบบได้โดยไม่มีข้อจำกัด
• Privilege Escalation – การโจมตีที่ผู้ไม่ประสงค์ดีพยายามเพิ่มสิทธิ์การเข้าถึงระบบจากระดับผู้ใช้ทั่วไปให้กลายเป็นระดับผู้ดูแลระบบหรือระดับสูงกว่า

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html