Hosting współdzielony opiera się na jednym założeniu: konta wielu klientów stoją obok siebie na tej samej maszynie, ale są od siebie szczelnie odizolowane. Świeżo ujawniona luka pokazuje, jak kruche bywa to założenie. CVE-2026-54420 to błąd w pluginie LiteSpeed dla cPanel, który pozwala zwykłemu użytkownikowi — wystarczy dostęp przez FTP lub web shell — wspiąć się do uprawnień roota na serwerze. 15 czerwca 2026 amerykańska agencja CISA dopisała tę podatność do katalogu Known Exploited Vulnerabilities, czyli luk już wykorzystywanych w realnych atakach, i dała federalnym urzędom czas na łatkę do 18 czerwca. Dla każdego, kto prowadzi lub korzysta z hostingu, to sygnał, że trzeba działać natychmiast.
Na czym polega luka
Podatność ma ocenę CVSS 8.5 i dotyczy plugina LiteSpeed dla cPanel w wersjach starszych niż 2.4.8 (dystrybuowanego razem z wtyczką LiteSpeed WHM przed 5.3.2.0). Sednem problemu jest klasyczny błąd typu UNIX symlink following — plugin nieprawidłowo obsługuje dowiązania symboliczne podstawione przez użytkownika na serwerze współdzielonym działającym pod CloudLinux lub CageFS.
W praktyce wygląda to tak: atakujący, który ma zwykłe konto z dostępem FTP albo zdołał wgrać web shell przez dziurawą stronę WWW, tworzy spreparowany symlink wskazujący na pliki systemowe. Plugin, działający z wysokimi uprawnieniami, podąża za tym dowiązaniem i wykonuje operacje tam, gdzie zwykły użytkownik nie powinien mieć wstępu. Efekt to eskalacja uprawnień aż do roota — a root na maszynie hostingowej oznacza pełną kontrolę nad kontami wszystkich pozostałych klientów na tym serwerze.
Dlaczego to groźne dla hostingu
CageFS i CloudLinux to mechanizmy, które mają właśnie zapobiegać takiej sytuacji — zamykają każdego użytkownika w jego własnej, odseparowanej klatce. Luka w zaufanym pluginie obchodzi tę ochronę od środka. Wystarczy, że jedno konto na serwerze zostanie przejęte (na przykład przez słabą stronę WordPress), a napastnik może użyć CVE-2026-54420, by wyrwać się z klatki i dobrać do danych sąsiadów.
Lukę zgłosił 31 maja 2026 zespół Namecheap, a LiteSpeed oznaczył ją jako aktywnie wykorzystywaną już na początku czerwca. Nie ujawniono jeszcze szczegółów kampanii ani tego, ilu serwerom udało się napastnikom faktycznie zaszkodzić — ale sama obecność błędu w katalogu CISA to potwierdzenie, że ktoś już go testuje na żywych systemach.
Co zrobić
Najważniejsza rzecz to aktualizacja. Zainstaluj wtyczkę LiteSpeed WHM w wersji 5.3.2.1 (zawiera plugin cPanel 2.4.8) lub nowszej. To jedyne pełne zabezpieczenie.
Sprawdź, czy Twój serwer nie został już zaatakowany. LiteSpeed udostępnił polecenie, które przeszukuje logi cPanela pod kątem charakterystycznych śladów:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
Jeśli polecenie nic nie zwróci, serwer prawdopodobnie nie był celem. Jeśli pojawią się wyniki, zwróć uwagę na podejrzane wzorce: wywołanie generateEcCert od razu po packageUserSize dla tego samego użytkownika oraz po 7–10 równoległych żądań naraz — normalny interfejs wykonuje je pojedynczo. To wskazuje na próbę nadużycia, a nie zwykłą aktywność.
Jeśli korzystasz z hostingu jako klient, zapytaj swojego dostawcę, czy plugin LiteSpeed został już zaktualizowany. Niezależnie od tego warto przejrzeć własne konto pod kątem nieznanych plików, dziwnych skryptów PHP i podejrzanych dowiązań symbolicznych.
Podsumowanie
CVE-2026-54420 to przypomnienie, że w środowisku współdzielonym bezpieczeństwo jest tak silne, jak najsłabsze konto na serwerze. Pojedyncza zaniedbana strona może stać się punktem wejścia, a luka w komponencie systemowym — drogą do przejęcia całej maszyny. Administratorzy powinni jak najszybciej podnieść wersję plugina LiteSpeed i przejrzeć logi, a użytkownicy — dopilnować, by ich dostawca to zrobił. Trzy dni, które CISA dała urzędom, to nie przesada: przy aktywnie wykorzystywanej luce każda godzina zwłoki to realne ryzyko.
źródło: https://thehackernews.com/2026/06/cisa-flags-litespeed-cpanel-plugin-flaw.html