CISA Flags LiteSpeed cPanel Plugin Flaw Exploited for Root Privilege Escalation

Escalade de privilèges critique dans le plugin LiteSpeed cPanel

La CISA a ajouté une faille de sécurité majeure affectant le plugin LiteSpeed cPanel à son catalogue des vulnérabilités activement exploitées (KEV), imposant une correction rapide aux agences fédérales américaines.

Points clés :

• La vulnérabilité permet à un utilisateur disposant d’un accès FTP ou d’un shell web d’élever ses privilèges jusqu’au niveau “root”.
• L’exploitation concerne spécifiquement les serveurs d’hébergement mutualisé utilisant CloudLinux ou CageFS.
• LiteSpeed a fourni une commande spécifique pour identifier une potentielle exploitation sur les serveurs : grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

Vulnérabilité :

• CVE-2026-54420 (Score CVSS : 8.5) : Mauvaise gestion des liens symboliques par le plugin, permettant une escalade de privilèges.

Recommandations :

• Mise à jour : Installer immédiatement la version LiteSpeed WHM Plugin v5.3.2.1 (incluant le plugin cPanel v2.4.8) ou toute version ultérieure.
• Audit : Exécuter la commande grep fournie pour vérifier l’intégrité du serveur. En cas de résultats, isoler les occurrences suspectes (appels multiples simultanés ou chaînage inhabituel des fonctions generateEcCert et packageUserSize).

Source