CISA hat CVE-2026-54420 in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Die Behörde stuft die Schwachstelle damit als aktiv ausgenutzt ein und verlangt von Behörden des Federal Civilian Executive Branch, die Patches bis zum 18. Juni 2026 einzuspielen.
Die Lücke betrifft das LiteSpeed cPanel Plugin und wird mit einem CVSS-Wert von 8,5 bewertet. Beschrieben wird sie als Privilegieneskalation: Ein Benutzer mit FTP-Zugang oder Zugriff auf eine Web-Shell kann auf Shared-Hosting-Servern mit CloudLinux oder CageFS Root-Rechte erlangen.
CVE.org beschreibt das Problem so: Versionen des LiteSpeed cPanel Plugin vor 2.4.8, wie sie in LiteSpeed WHM PlugIn vor 5.3.2.0 ausgeliefert wurden, gehen fehlerhaft mit Symlinks um, die von einem Benutzer mit FTP- oder Web-Shell-Zugang auf einem Shared-Hosting-Server unter CloudLinux oder CageFS bereitgestellt werden.
Wie die Angriffe außerhalb kontrollierter Tests konkret ablaufen, ist derzeit nicht bekannt. Ebenso ist offen, ob beobachtete Ausnutzungsversuche erfolgreich waren. LiteSpeed hat Anwender dennoch aufgefordert, mit einem vom Hersteller genannten grep-Befehl zu prüfen, ob ihre Server betroffen sind.
Falls dieser grep-Befehl keine Ausgabe liefert, ist der Server laut LiteSpeed nicht von dem Problem betroffen. Gibt es hingegen eine Ausgabe, hat der Hersteller weitere Indikatoren veröffentlicht, um mögliche Fehlalarme auszuschließen.
Aufmerksam gemacht wurde LiteSpeed nach eigenen Angaben von Namecheap, dem die Meldung am 31. Mai 2026 zugeschrieben wird. Zur Behebung sollen Nutzer auf LiteSpeed WHM Plugin v5.3.2.1 oder neuer aktualisieren; diese Version wird zusammen mit cPanel Plugin v2.4.8 ausgeliefert.