Auf den Punkt: Eine kritische Privilege-Escalation-Lücke (CVE-2026-54420) im LiteSpeed cPanel-Plugin wird aktiv ausgenutzt und erfordert sofortige Patches auf Version 2.4.8 oder höher.
Die US-Sicherheitsbehörde CISA hat US-Bundesbehörden eine Drei-Tage-Frist zur Behebung einer kritischen Root-Schwachstelle im LiteSpeed cPanel-Plugin gesetzt, die bereits aktiv ausgenutzt wird. Betroffen sind alle Versionen vor 2.4.8.
Die Schwachstelle CVE-2026-54420 ermöglicht es Angreifern mit bestehendem FTP- oder Web-Shell-Zugriff, ihre Privilegien auf Shared-Hosting-Servern mit CloudLinux oder CageFS bis zur Root-Ebene auszuweiten. Das Problem basiert auf einer fehlerhaften Behandlung von Unix-Symlinks. Der Hersteller LiteSpeed hatte die Lücke Anfang Juni identifiziert und Sicherheitsupdates bereitgestellt. Das betroffene cPanel-Plugin wird zusammen mit dem WHM-Plugin ausgeliefert.
CISA ordnete eine Drei-Tage-Frist auf Basis der geänderten internen Richtlinie Binding Operational Directive (BOD) 26-04 an, die Fehlerbehebungen strikt nach realem Ausnutzungsrisiko priorisiert. Für eine Root-Lücke auf Internet-erreichbaren Servern, die skalierbare Massenattacken und vollständige Systemübernahmen ermöglicht, gilt dies als höchste Priorität. Die Behörde warnte: Diese Art von Schwachstelle zähle zu häufigen Angriffsmustern böswilliger Akteure und berge erhebliche Risiken für Bundesunternehmen. Falls keine Schutzmaßnahmen verfügbar sind, müssen Behörden den Einsatz des Produkts einstellen.
Administratoren können betroffene Server mit spezifischen Suchbefehlen in den Log-Verzeichnissen /usr/local/cpanel/logs/ und /var/cpanel/logs/ auf mögliche Ausnutzung überprüfen. Zu suchen ist nach verdächtigen API-Aufrufen wie generateEcCert oder packageUserSize. Führt der Suchbefehl zu Treffern, wurde die Schwachstelle möglicherweise ausgenutzt. In diesem Fall sollten Administratoren die Systemprotokolle auf Aktionen der erkannten IPs analysieren, um den Umfang eines möglichen Schadens zu bestimmen.
Dies ist bereits die zweite kritische Lücke im LiteSpeed cPanel-Plugin innerhalb kurzer Zeit. Im Vormonat warnte CISA vor CVE-2026-48172, die unauthentifizierten Angreifern die Ausführung beliebiger Skripte mit Root-Rechten ermöglichte.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.