1. Alertas de Seguridad
  2. Vulnerabilidad Alta (CVE-2026-54420) en LiteSpeed cPanel Plugin permite escapar del aislamiento entre cuentas en hosting compartido

Vulnerabilidad Alta (CVE-2026-54420) en LiteSpeed cPanel Plugin permite escapar del aislamiento entre cuentas en hosting compartido

Fecha de publicación: Mar, 23/06/2026 - 17:00

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

La vulnerabilidad se origina debido al manejo incorrecto de enlaces simbólicos (symbolic links o symlinks) proporcionados por usuarios dentro de servidores de alojamiento compartido que utilizan CloudLinux/CageFS como mecanismo de aislamiento entre cuentas.

Un atacante que ya disponga de acceso limitado a una cuenta de hosting, ya sea mediante credenciales FTP comprometidas o a través de una web shell obtenida previamente, podría crear enlaces simbólicos maliciosos para acceder a archivos pertenecientes a otros usuarios del mismo servidor, rompiendo el aislamiento esperado entre clientes del servicio compartido.

Aunque la vulnerabilidad requiere un nivel inicial de acceso bajo, el impacto potencial sobre la confidencialidad, integridad y disponibilidad de la información es elevado, especialmente en proveedores de hosting compartido y entornos multiusuario.

Recursos afectados

  • LiteSpeed cPanel Plugin anteriores a la versión 2.4.8.
  • LiteSpeed WHM Plugin anteriores a la versión 5.3.2.0.

Solución/Mitigación

Actualizar inmediatamente:

  • LiteSpeed cPanel Plugin 2.4.8 o superior.
  • LiteSpeed WHM Plugin 5.3.2.0 o superior.

En caso de no proceder con la actualización se recomienda:

  • Revisar las configuraciones relacionadas con el manejo de enlaces simbólicos dentro del entorno de alojamiento.
  • Limitar el acceso FTP únicamente a usuarios autorizados.
  • Supervisar la presencia de web shells o scripts sospechosos alojados en cuentas compartidas.
  • Implementar controles adicionales de aislamiento entre cuentas cuando sea posible.

Indicadores de compromiso

Actualmente no se han publicado indicadores técnicos específicos como direcciones IP, hashes o dominios asociados a campañas de explotación. Sin embargo, se recomienda monitorear:

  • Creación inesperada de enlaces simbólicos dentro de directorios de usuarios.
  • Accesos a archivos pertenecientes a otras cuentas alojadas en el mismo servidor.
  • Actividad inusual de cuentas FTP.
  • Presencia de web shells o scripts desconocidos dentro de directorios web.
  • Errores o eventos relacionados con permisos y accesos entre usuarios aislados mediante CageFS.
  • Incrementos anómalos en operaciones de lectura sobre archivos sensibles del sistema o de otras cuentas hospedadas.

Recomendaciones

  • Priorizar la actualización de todos los servidores que utilicen LiteSpeed junto con cPanel y CloudLinux.
  • Realizar una revisión de integridad sobre los directorios de usuarios alojados.
  • Auditar la existencia de enlaces simbólicos sospechosos creados recientemente.
  • Revisar registros FTP y accesos web en busca de actividad anómala.
  • Incrementar temporalmente el monitoreo de servidores de hosting compartido expuestos a Internet.
  • Incorporar esta vulnerabilidad dentro de los procesos institucionales de gestión de vulnerabilidades y remediación priorizada.

Referencias