LiteSpeed cPanel 插件符号链接跟随漏洞(CVE-2026-54420)

北京赛克艾威科技有限公司 2026-06-14


  • 漏洞编号:CVE-2026-54420
  • 漏洞等级:高危
  • 漏洞标签:POC公开、在野利用、关键漏洞、CISA KEV
  • 发布时间:2026-06-14

漏洞描述

LiteSpeed Web Server 是一款高性能的Web服务器软件,广泛应用于托管服务提供商和企业环境。其cPanel插件和WHM插件用于与cPanel/WHM控制面板集成,提供Web服务器管理、缓存配置和性能优化功能。在运行CloudLinux/CageFS的共享主机环境中,由于插件未能正确处理用户创建的符号链接,具有有限权限的FTP或Web shell用户可通过构造恶意符号链接绕过文件系统隔离机制,访问其他用户目录下的敏感文件或系统关键文件,导致跨账户数据泄露和权限提升风险。该漏洞已于2026年5月被在野利用。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/468762