← volver
CVE-2026-54420

CVE-2026-54420

CVSS 8.5 HIGHEPSS 1.3%● KEVCWE-61
En resumen

El plugin LiteSpeed cPanel anterior a la versión 2.4.8 maneja incorrectamente los enlaces simbólicos (symlinks), permitiendo que usuarios con acceso FTP o shell web accedan a archivos que no deberían. Este es un riesgo grave en servidores de alojamiento compartido ejecutando CloudLinux/CageFS.

Detalle técnico

Fallo CWE-61 (Manipulación Inadecuada de Enlaces Simbólicos) en el plugin LiteSpeed cPanel <2.4.8 permite escalada de privilegios o acceso no autorizado a archivos mediante manipulación de symlinks por usuarios autenticados (FTP/shell web) en alojamiento compartido con CloudLinux/CageFS. Precondición: el atacante debe poseer credenciales FTP o shell web en el servidor. El impacto incluye posible divulgación de información o movimiento lateral entre entornos aislados de usuarios.

Resumen generado y traducido por IA a partir de la descripción oficial.
LiteSpeed cPanel plugin before 2.4.8 (as distributed in LiteSpeed WHM PlugIn before 5.3.2.0) mishandles symlinks provided by a user with FTP or web shell access on a shared hosting server running CloudLinux/CageFS, as exploited in the wild in May 2026.
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
LiteSpeed Technologies · cPanel Plugin
PoCs públicas encontradas4
githubgithub.com/HORKimhab/CVE-2026-544201githubgithub.com/Resellnom/litespeed-cpanel-cve-2026-54420-fix0githubgithub.com/mahfuzreham/litespeed-cpanel-cve-2026-54420-fix0githubgithub.com/fevar54/CVE-2026-54420-LiteSpeed-Symlink-Exploit0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://blog.litespeedtech.com/2026/06/01/security-update-for-litespeed-cpanel-plugin-2/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-54420https://www.litespeedtech.com/products/litespeed-web-server/control-panel-support/cpanel