Se está explotando activamente en el salvaje una vulnerabilidad de tipo escalada de privilegios (CVE-2026-54420) en el plugin de usuario de LiteSpeed para cPanel. La falla permite a atacantes con acceso limitado (como credenciales FTP o una shell web comprometida) escalar privilegios hasta nivel root, comprometiéndose servidores compartidos bajo condiciones específicas. La explotación abusa de llamadas internas a APIs del plugin para bypassear las restricciones de CageFS de CloudLinux, violando la aislación de inquilinos en entornos de hosting compartido.
CVE y severidad
CVE-2026-54420 (severidad Crítica).
Estado: Activamente explotada en entornos reales.
Impacto: Compromiso total del servidor (C: Alto / I: Alto / A: Alto).
Vectores afectados: Plugin de usuario de LiteSpeed para cPanel (versiones anteriores a 2.4.8).
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| LiteSpeed Technologies | cPanel | Plugin de usuario (user-end plugin) | Versiones anteriores a 2.4.8 (incluido en WHM plugin ≤ 5.3.2.0) |
Solución
Actualizar el plugin de usuario de LiteSpeed para cPanel a la versión 2.4.8 (incluida en WHM plugin 5.3.2.1) o eliminar temporalmente el plugin de usuario como medida mitigativa.
Recomendaciones
Administradores deben aplicar la actualización inmediatamente y revisar los logs del servidor en busca de patrones anómalos (ej.: secuencias rápidas de llamadas a generateEcCert y packageUserSize desde IPs repetidas). En entornos compartidos, priorizar la revisión de cambios de privilegios no autorizados o ejecución de comandos sospechosos. Linux: Verificar procesos root no esperados; Windows: monitorear permisos de archivos compartidos.