17 Giugno 2026 13:40    Alert

LiteSpeed cPanel plugin CVE-2026-54420: symlink following per l'escalation a root su hosting condiviso

Negli ambienti di hosting condiviso il confine tra un account e l'altro è tutto: la CVE-2026-54420 lo erode. È una vulnerabilità di privilege escalation di tipo UNIX symbolic link (symlink) following nel plugin cPanel di LiteSpeed Web Server, dovuta a una gestione impropria dei link simbolici. Un utente autenticato che disponga di credenziali FTP o di una webshell su un server di hosting condiviso può sfruttarla per aggirare le restrizioni di isolamento, accedere a risorse fuori dalle directory consentite ed elevare i propri privilegi fino a root. Le fonti di settore le assegnano un CVSS pari a 8.5 (l'alert ACN non riporta il punteggio).

La vulnerabilità è sfruttata attivamente: la CISA l'ha aggiunta al catalogo KEV il 15 giugno 2026 con una finestra di remediation insolitamente stretta, e il CSIRT Italia ha aggiornato il proprio alert il 17 giugno. Il difetto, divulgato responsabilmente da Namecheap a fine maggio 2026, colpisce in particolare i server di hosting condiviso basati su CloudLinux/CageFS, dove consente la cosiddetta tenant breakout. Come nota BleepingComputer, è l'ennesimo plugin per cPanel finito sotto sfruttamento attivo. Il vendor ha corretto la falla nel plugin cPanel 2.4.8 (distribuito con la WHM Plugin 5.3.2.1).

A doversene preoccupare sono soprattutto i provider e le realtà che gestiscono hosting condiviso con LiteSpeed e cPanel, molto comuni anche nel panorama dei fornitori italiani che ospitano siti di PMI: un singolo account compromesso, o una webshell già presente, diventa la leva per prendere il controllo dell'intero server e di tutti i siti che vi risiedono.

  • Versioni affette: plugin cPanel LiteSpeed nelle versioni fino alla 2.4.8 esclusa.
  • Azione raccomandata: aggiornare il plugin cPanel LiteSpeed alla 2.4.8 (WHM Plugin 5.3.2.1) o successiva con urgenza; sui server di hosting condiviso verificare la presenza di webshell e accessi FTP anomali, vista la facilità di abuso una volta ottenuto un accesso iniziale.

 

Fonti: ACN, Lite Speed, The Hacker News, Bleeping Computer