文章总结： LiteSpeedcPanel用户端插件中存在一个严重零日漏洞CVE-2026-54420正被积极利用，该漏洞允许攻击者通过滥用特定内部API调用（如generateeccert和packageusersize）绕过权限隔离，将权限提升至root级别，从而完全控制服务器。LiteSpeed已在cPanel插件版本2.4.8中发布补丁，强烈建议管理员立即更新，或移除用户端插件作为临时缓解措施，并进行日志分析以检测利用迹象。 综合评分： 96 文章分类： 漏洞分析,漏洞预警,应急响应,web安全

LiteSpeed cPanel 插件零日漏洞已被恶意利用

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月16日 19:10 北京

在小说阅读器读本章

去阅读

LiteSpeed cPanel 用户端插件中的一个严重零日漏洞正在被积极利用，对全球共享主机环境构成严重威胁。

该漏洞编号为 CVE-2026-54420，允许攻击者在特定条件下将权限提升至 root 级别，从而完全控制受影响的服务器。

LiteSpeed cPanel 插件零日漏洞

据 LiteSpeed Technologies 称，该漏洞仅影响用户端的 cPanel 插件，不会影响 WHM 插件本身。

但是，由于用户端插件与 WHM 插件捆绑在一起，如果不进行更新，许多环境可能仍然会暴露出来。

Namecheap 的研究人员负责任地披露了这个问题，他们在向供应商报告之前，观察到了与漏洞利用尝试相关的可疑行为。

该漏洞的核心在于，攻击者可以利用有限的初始访问权限（例如 FTP 凭据或对已入侵的 Web Shell 的访问权限）滥用 cPanel 插件中的内部 API 调用。

通过以非预期的方式链接特定函数，攻击者可以绕过CloudLinux 的 CageFS 隔离所强制执行的权限边界，并最终将其权限提升到 root。

这实际上破坏了共享主机设置中的租户隔离，可能会使托管在同一服务器上的其他用户面临风险。

对攻击模式的分析表明，攻击者正在利用异常的内部 API 请求序列，特别是涉及 generateEcCert 和 packageUserSize 函数的请求。

正常情况下，这些操作不会立即连续执行。然而，在观察到的攻击中，这些调用会被故意快速串联起来，并且通常会在多个线程上并发执行。

这种行为表明使用了旨在提高权限提升成功率的自动化攻击脚本。

进一步的取证指标表明，攻击者通常来自同一个源 IP 地址，该 IP 地址会反复攻击两个易受攻击的端点。

与正常的顺序用户活动不同，同时发生的 7-10 个并发请求会在服务器日志中产生可检测的异常，防御者可以利用这些异常来识别攻击。

LiteSpeed 在 cPanel 插件版本 2.4.8 中发布了一个补丁，该补丁与 WHM 插件版本 5.3.2.1 捆绑在一起，通过纠正不正确的访问控制和加强 API 处理来解决该漏洞。

强烈建议管理员立即应用此更新，因为未打补丁的系统仍然存在很高的被入侵风险。

对于无法立即更新的系统，建议移除用户端插件作为临时缓解措施，以消除攻击面。

该漏洞于 2026 年 5 月 31 日被报告，促使 LiteSpeed 和 cPanel 迅速采取行动，快速缓解并移除了存在漏洞的组件。

2026 年 6 月 1 日发布了修复版本，2026 年 6 月 14 日正式分配了 CVE 标识符。

安全专家警告说，这种漏洞在现实世界中的影响可能非常严重，尤其是在多租户环境中，一个被攻破的账户就可能导致整个服务器被完全接管。

建议管理员不仅要打补丁，还要进行彻底的日志分析，以识别任何先前被利用的迹象，包括未经授权的权限更改、可疑的命令执行或对系统文件的意外修改。

LiteSpeed 已认可 Namecheap对发现该问题所做的贡献，并赞扬 cPanel 团队迅速采取的缓解措施。

鉴于该漏洞目前正处于活跃利用状态，及时修补漏洞和主动监控对于防止进一步事件发生仍然至关重要。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《LiteSpeed cPanel 插件零日漏洞已被恶意利用》