Qué pasó
LiteSpeed publicó una actualización de seguridad para su plugin de usuario final en cPanel. La vulnerabilidad, identificada como CVE-2026-48172, afecta versiones v2.3 hasta v2.4.4 del plugin.
El impacto es serio: un usuario de cPanel, incluyendo una cuenta comprometida, podía abusar de una función del plugin para ejecutar scripts con privilegios de root. En cristiano: una sola cuenta débil podía terminar afectando el servidor completo.
LiteSpeed corrigió el problema y recomendó actualizar a versiones nuevas del plugin. CISA también agregó la vulnerabilidad a su catálogo KEV, que lista fallas explotadas activamente.
Por qué le importa a una pyme
Muchas empresas usan hosting con cPanel porque resuelve mucho: correos, dominios, WordPress, bases de datos, archivos y backups desde un panel conocido.
Eso es cómodo. Pero también significa que cPanel, WHM, LiteSpeed, plugins y cuentas de usuario son parte de la superficie de ataque del negocio.
Si tu web vive en hosting compartido, VPS administrado o servidor WHM/cPanel con LiteSpeed, esta alerta toca la puerta. No hace falta entrar en pánico; hace falta confirmar versión, revisar accesos y validar backups.
Checklist rápido
- Pregunta a tu proveedor si el plugin de LiteSpeed para cPanel ya está actualizado.
- Si administras WHM/cPanel, valida que no queden versiones v2.3 a v2.4.4 del plugin de usuario final.
- Revisa usuarios de cPanel que ya no deberían existir.
- Cambia contraseñas débiles y activa MFA donde esté disponible.
- Verifica backups recientes fuera del mismo servidor.
- Si tienes acceso técnico, revisa logs buscando actividad relacionada con
cpanel_jsonapi_func=redisAble.
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullNo encontrar resultados no garantiza seguridad absoluta, pero es una señal útil para empezar.
Señales para mirar esta semana
- Archivos nuevos o raros en
public_html. - Procesos desconocidos consumiendo CPU.
- Correos saliendo en volumen extraño.
- Nuevos usuarios FTP, bases de datos o cron jobs que nadie reconoce.
- Cambios de permisos en archivos PHP o scripts subidos recientemente.
Qué pedirle al proveedor
No basta con “todo está bien”. Pide respuestas concretas:
- versión actual del plugin de LiteSpeed para cPanel;
- fecha y hora del parche;
- si revisaron indicadores de explotación;
- si hay backups restaurables de antes del parche;
- si pueden activar MFA para accesos administrativos.
Si el proveedor no puede responder eso, no necesariamente es malicioso; pero sí estás operando a ciegas. Y a ciegas se administran sustos, no infraestructura.
En resumen
Para una pyme, el riesgo no es solo que la web se caiga. Es que el servidor empiece a enviar spam, alojar malware, perder reputación de dominio o generar una factura de limpieza que nadie presupuestó.
La acción práctica de hoy: confirma versión, revisa accesos y valida backups. Tres pasos aburridos, sí. Mucho más baratos que explicar el lunes por qué el sitio de ventas ahora vende sustos.