漏洞概述
2026年5月31日,Namecheap安全团队向LiteSpeed Technologies报告了一个影响LiteSpeed cPanel用户端插件的严重零日漏洞。该漏洞被追踪为CVE-2026-54420,CVSS评分为8.5(高危),允许低权限用户在特定条件下将权限提升至root级别,从而完全控制受影响的服务器。
技术细节
漏洞根因在于LiteSpeed cPanel插件(2.4.8版本之前)对符号链接(symlink)的处理存在缺陷。攻击者若已获得有限初始访问权限(如FTP凭证或被入侵的Web Shell),可利用插件内部API调用链——特别是generateEcCert与packageUserSize函数的异常组合——绕过CloudLinux CageFS的隔离边界。
攻击特征与检测
LiteSpeed官方披露了以下攻击特征:
API调用链异常:
generateEcCert紧随packageUserSize被调用(正常UI流程不会串联这两个函数)高并发请求:单次攻击产生7至10个并发调用(正常UI为单次串行)
来源IP集中:同一源IP反复攻击两个脆弱端点
管理员可通过以下命令检测服务器是否遭受攻击:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null若命令无输出,则服务器未受影响;若有输出,需进一步结合上述攻击特征排除误报。
影响范围
该漏洞仅影响LiteSpeed cPanel用户端插件,WHM插件本身不受影响。但由于用户端插件与WHM插件捆绑分发,许多未及时更新的环境仍处于暴露风险中。所有2.4.8版本之前的用户端插件均存在风险。
处置建议
LiteSpeed已于2026年6月1日发布修复版本,具体为:
cPanel plugin v2.4.8
WHM plugin v5.3.2.1(捆绑上述修复)
管理员应立即执行以下操作:
1. 升级插件(推荐):
wget -O- https://litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh | sh2. 临时缓解(若无法立即升级):
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall3. 日志审计:检查系统日志中是否存在可疑IP活动、未授权权限变更或异常命令执行。
官方与监管动态
2026年5月31日:Namecheap向LiteSpeed报告漏洞,cPanel同日推送插件卸载命令
2026年6月1日:LiteSpeed发布修复版本并申请CVE
2026年6月14日:CVE-2026-54420正式分配
2026年6月15日:CISA将该漏洞列入已知被利用漏洞目录(KEV),要求联邦机构在2026年6月18日前完成修复
夜雨聆风