A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) uma falha de segurança que afeta o LiteSpeed cPanel user-end plugin, determinando que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções em até três dias, conforme exige a Diretriz Operacional Vinculante BOD 26-04.
A vulnerabilidade, rastreada como
CVE-2026-54420
e também identificada como
CVE-2026-48172
, tem gravidade alta e foi reportada pela Namecheap. Ela permite que atacantes com acesso via FTP ou por web shell elevem privilégios até root em servidores de hospedagem compartilhada que executam CloudLinux/CageFS.
Segundo a descrição da CVE.org, o LiteSpeed cPanel plugin anterior à versão 2.4.8, distribuído junto com o LiteSpeed WHM Plugin, trata de forma inadequada links simbólicos UNIX fornecidos por um usuário com acesso FTP ou uma shell web em um ambiente de hospedagem compartilhada com CloudLinux/CageFS. A falha afeta todas as versões do plugin user-end anteriores à 2.4.8.
A LiteSpeed alertou no início de junho que a vulnerabilidade estava sendo explorada ativamente e publicou atualizações de segurança urgentes, recomendando que os usuários atualizassem o plugin cPanel user-end, distribuído junto com o plugin WHM, para a versão mais recente. Na atualização, a empresa orientou os administradores a verificarem se seus servidores foram afetados com o comando:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
Se esse comando não retornar nenhuma saída, isso indica que o servidor não foi impactado pelo problema. Caso haja saída, a LiteSpeed informou que é possível que a vulnerabilidade tenha sido explorada no servidor e recomendou examinar os logs do sistema em busca de ações executadas pelos IPs detectados. A empresa também compartilhou indicadores para ajudar a descartar falsos positivos, como a ocorrência de generateEcCert seguido imediatamente de packageUserSize para o mesmo usuário, algo que não ocorre em fluxos legítimos da interface, além de 7 a 10 chamadas simultâneas por tentativa, enquanto o uso legítimo faz uma chamada por vez.
Até o momento, não se sabe como a vulnerabilidade está sendo explorada na prática, nem se algum ataque já foi bem-sucedido. Ainda assim, a CISA afirmou que a falha está sendo ativamente explorada e representa risco para todas as versões do plugin user-end anteriores à 2.4.8.
A CISA também publicou um alerta aos órgãos federais para priorizarem a correção com base no risco de exploração, considerando fatores como a presença da falha no catálogo KEV, a exposição pública do ativo na internet, a possibilidade de automação da exploração para ataques em larga escala e o grau de controle obtido pelo atacante em caso de sucesso. A agência reforçou que esse tipo de vulnerabilidade é um vetor frequente para agentes cibernéticos maliciosos e representa riscos significativos para a estrutura federal.
A Namecheap foi creditada por chamar a atenção para o problema em 31/05/2026.
Os usuários são orientados a atualizar para o LiteSpeed WHM Plugin v5.3.2.1, que inclui o cPanel plugin v2.4.8, ou para uma versão superior, a fim de corrigir a vulnerabilidade.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...