LiteSpeed cPanel plugin before 2.4.8 (as distributed in LiteSpeed WHM PlugIn before 5.3.2.0) mishandles symlinks provided by a user with FTP or web shell access on a shared hosting server running CloudLinux/CageFS, as exploited in the wild in May 2026.
oryginał ENCVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:HLitespeedtech Litespeed Cpanel Plugin
APPLitespeedtech< 2.4.8Litespeedtech Litespeed Whm Plugin
APPLitespeedtech< 5.3.2.0
CISA KEV — szczegółyi
- Dostawcai
- LiteSpeed
- Produkti
- cPanel Plugin
- Data dodania do KEVi
- 15 czerwca 2026
- Termin remediation (USA)i
- 18 czerwca 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność ze wskazówkami CISA BOD 26-04 Prioritizing Security Updates Based on Risk (patrz adres URL w Notatkach) i "Forensics Triage Requirements" CISA (patrz adres URL w Notatkach). Postępuj zgodnie z odpowiednimi wskazówkami BOD 26-04 dla usług w chmurze lub zaprzestań używania produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji każdego zasobu na internet i zapewnienie zgodności z wytycznymi patching BOD 26-04.
▸ Pokaż oryginał (EN)
Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.
Plugin LiteSpeed cPanel zawiera lukę podatności typu UNIX symbolic link (Symlink) following, która mogłaby umożliwić użytkownikowi z dostępem FTP lub web shell na współdzielonym serwerze hostingowym uruchamiającym CloudLinux/CageFS.
▸ Pokaż oryginał (EN)
LiteSpeed cPanel plugin contains a UNIX symbolic link (Symlink) following vulnerability that could allow a user with FTP or web shell access on a shared hosting server running CloudLinux/CageFS.
Powiązane podatności
LiteSpeed cPanel Plugin — privilege escalation (możliwe root) via Redis
LiteSpeed Cache – nieuwierzytelnione przejęcie konta przez ujawnione dane logowania
Privilege escalation bez uwierzytelnienia w LiteSpeed Cache dla WordPress
Błędna walidacja DCID w bibliotece LiteSpeed QUIC (LSQUIC)
liblsquic/lsquic_qenc_hdl.c in LiteSpeed QUIC (aka LSQUIC) before 3.1.0 mishandles MAX_TABLE_CAPACITY.