
CISA通报LiteSpeed cPanel插件提权漏洞
CISA 已将影响 LiteSpeed cPanel Plugin 的 CVE-2026-54420 纳入 KEV,要求 FCEB 机构在 2026-06-18 前完成修复。该漏洞可被拥有 FTP 或 web shell 访问权限的用户利用,在运行 CloudLinux 或 CageFS 的共享主机上提权至 root。厂商建议先用命令检查是否受影响,并升级到修复版本。
美国网络安全和基础设施安全局(CISA)已将一个影响 LiteSpeed cPanel Plugin 的安全漏洞加入其已知被利用漏洞(KEV)目录,并要求联邦民用行政部门(FCEB)机构在 2026 年 6 月 18 日前应用修复。
相关漏洞为 CVE-2026-54420(CVSS 评分:8.5),被描述为一项权限提升案例。它允许拥有 FTP 或 web shell 访问权限的用户,在运行 CloudLinux 或 CageFS 的共享主机服务器上将权限提升至 root。
根据 CVE.org 对该漏洞的描述,“LiteSpeed cPanel plugin 2.4.8 之前的版本(在 LiteSpeed WHM PlugIn 5.3.2.0 之前的版本中分发)会错误处理由在运行 CloudLinux/CageFS 的共享主机服务器上拥有 FTP 或 web shell 访问权限的用户提供的 symlink。”
目前尚不清楚该漏洞在野外是如何被利用的,以及这些攻击是否已经成功,但 LiteSpeed 已敦促用户运行下面的命令来检查其服务器是否受影响:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
如果 grep 命令没有显示任何输出,则表示该服务器未受此问题影响。如果有任何输出,LiteSpeed 还提供了额外指标,用于排除误报:
generateEcCert 立即后跟 packageUserSize,且为同一用户(正常的 UI 流程不会将这两者串联)
每次尝试中出现 7 到 10 个并发调用(正常的 UI 一次只会执行一个)
Namecheap 因在 2026 年 5 月 31 日将该问题报告给官方而获得致谢。建议用户升级到 LiteSpeed WHM Plugin v5.3.2.1(捆绑 cPanel plugin v2.4.8)或更高版本,以修补该漏洞。