Агентство CISA предупредило федеральные ведомства США о необходимости срочно закрыть активно эксплуатируемую уязвимость в LiteSpeed cPanel user-end plugin. По данным BleepingComputer, дефект затрагивает версии плагина до 2.4.8 и особенно опасен для shared-hosting окружений на CloudLinux/CageFS: при наличии FTP-доступа или web shell злоумышленник может повысить привилегии до root.

Уязвимость связана с ошибкой следования UNIX symlink. В публикации BleepingComputer она описана как CVE-2026-48172, при этом в контексте предупреждения CISA также упоминается идентификатор CVE-2026-54420. Важная практическая часть не меняется: LiteSpeed ещё в начале июня пометила проблему как активно эксплуатируемую и выпустила срочное обновление для user-end plugin, который поставляется вместе с WHM-плагином.

LiteSpeed рекомендует администраторам проверять возможные следы эксплуатации в журналах cPanel и системных логах. В частности, компания предложила искать обращения к функциям generateEcCert и packageUserSize, а также действия cert_action_entry, связанные с генерацией ECC-сертификатов. Если команда поиска возвращает совпадения, сервер мог быть атакован, после чего нужно анализировать IP-адреса и действия, выполненные с этих источников.

В понедельник CISA добавила уязвимость в каталог Known Exploited Vulnerabilities. Для федеральных гражданских агентств это означает обязательный срок устранения — три дня. Требование опирается на новый Binding Operational Directive 26-04, который заменил более старые директивы и заставляет ведомства приоритизировать патчи по реальному риску эксплуатации.

В случае shared-hosting такой класс проблем особенно чувствителен: один скомпрометированный пользовательский аккаунт или web shell может стать ступенью к более широкому контролю над сервером. Если атака действительно приводит к root-доступу, злоумышленник способен читать данные соседних клиентов, менять конфигурацию, закрепляться в системе и разворачивать вредоносные компоненты.

Администраторам cPanel/WHM с LiteSpeed стоит не ограничиваться установкой версии 2.4.8 или новее. Нужно проверить логи за период до обновления, пересмотреть FTP-учётные записи, искать несанкционированные web shell-файлы, проверить cron-задачи, SSH-ключи, изменения в системных каталогах и признаки создания новых привилегированных пользователей. Для провайдеров хостинга это также повод ужесточить мониторинг межаккаунтной изоляции и событий, которые обычно выглядят как «обычная» активность клиента, но ведут к системному уровню.

Источник: BleepingComputer, 16 июня 2026