CISA advierte sobre vulnerabilidad en el plugin LiteSpeed cPanel
Publicado el
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha añadido una vulnerabilidad crítica en el plugin LiteSpeed cPanel a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta advertencia afecta a las agencias de la Rama Ejecutiva Civil Federal (FCEB), que deben aplicar las correcciones correspondientes antes del 18 de junio de 2026.
La vulnerabilidad, identificada como CVE-2026-54420 y con un puntaje CVSS de 8.5, permite a un usuario con acceso FTP o a través de un web shell escalar sus privilegios a raíz en servidores de alojamiento compartido que utilizan CloudLinux o CageFS. Según la descripción de la vulnerabilidad en CVE.org, el plugin de LiteSpeed, en versiones anteriores a 2.4.8, trata incorrectamente los enlaces simbólicos proporcionados por un usuario con acceso FTP o web shell.
Hasta el momento, no se ha determinado cómo se está explotando esta vulnerabilidad en la práctica ni si ha habido ataques exitosos. LiteSpeed ha instado a los usuarios a ejecutar un comando específico para verificar si sus servidores están comprometidos:
```bash grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null ```
Si este comando no arroja resultados, indica que el servidor no ha sido afectado. En caso de obtener salida, LiteSpeed ha proporcionado indicadores adicionales para descartar falsos positivos, como la ejecución de generateEcCert seguida inmediatamente por packageUserSize para el mismo usuario, ya que los flujos de trabajo legítimos no encadenan estas funciones. También se debe tener en cuenta que las llamadas concurrentes deben ser de 7 a 10 por intento, dado que la interfaz de usuario legítima realiza una a la vez.
La empresa Namecheap fue la que alertó sobre esta vulnerabilidad el 31 de mayo de 2026. Se recomienda a los usuarios actualizar a la versión 5.3.2.1 del plugin LiteSpeed WHM (que incluye el plugin cPanel v2.4.8) o superior para corregir la vulnerabilidad.
La situación resalta la importancia de mantener los sistemas actualizados y de estar alerta ante posibles amenazas que pueden comprometer la seguridad de los servidores de alojamiento compartido.