BleepingComputer は 6 月 15 日、米 CISA が LiteSpeed の cPanel プラグインに存在する権限昇格脆弱性 CVE-2026-54420 を Known Exploited Vulnerabilities (KEV) カタログへ追加し、連邦機関に対して 6 月 18 日までのパッチ適用を命じたと報じました。すでに実環境で悪用が観測されています。
主なポイント
- CVE-2026-54420 はシンボリックリンクの取り扱いに起因する権限昇格脆弱性で、CVSS スコアは 8.5。
- CloudLinux または CageFS を導入した共用ホスティング環境で影響が出ます。FTP または Web シェル経由のアクセス権を持つ攻撃者が root を取得可能です。
- 修正版は 6 月 1 日リリースの cPanel プラグイン v2.4.8 (WHM Plugin v5.3.2.1 同梱) で、CVE は 6 月 14 日に正式採番されました。
- 共用ホスティング事業者をはじめ、cPanel + LiteSpeed の組み合わせを運用する組織は KEV 追加を受けて緊急のパッチ適用が求められます。
出典: CISA warns of another actively exploited cPanel plugin flaw