Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 17.06.2026 · 4 min Lesezeit

LiteSpeed-cPanel-Plugin: CVE-2026-54420 landet im CISA-KEV-Katalog

CVE-2026-54420 betrifft das LiteSpeed-cPanel-Plugin auf Shared-Hosting-Systemen mit CloudLinux/CageFS. Administratoren sollten Plugin-Versionen und Logspuren prüfen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Professionelle IT News Grafik zur LiteSpeed cPanel Plugin Sicherheitslücke CVE-2026-54420 im CISA KEV Kontext. Zu sehen sind ein Hosting Server, ein Plugin Dashboard mit Warnmeldung, ein CISA KEV Advisory Panel und ein Exploit Signal in moderner Cybersecu

Die US-Sicherheitsbehörde CISA führt CVE-2026-54420 seit Mitte Juni 2026 in ihrem Known-Exploited-Vulnerabilities-Katalog. Die Schwachstelle betrifft das LiteSpeed-cPanel-Plugin auf Shared-Hosting-Servern mit CloudLinux/CageFS und erlaubt nach Angaben des Herstellers unter bestimmten Voraussetzungen eine Rechteausweitung bis auf Root-Ebene. Für Administratoren von Hosting-Plattformen ist die Meldung relevant, weil der Angriff aus einem bereits vorhandenen FTP- oder Web-Shell-Zugriff innerhalb einer Hosting-Umgebung heraus erfolgen kann.

Was bekannt ist

LiteSpeed beschreibt die Lücke als Privilege-Escalation-Schwachstelle im User-End-Plugin für cPanel. Der CVE-Datensatz nennt Plugin-Versionen vor 2.4.8 als betroffen, verteilt über LiteSpeed WHM PlugIn vor 5.3.2.0. LiteSpeed selbst empfiehlt inzwischen ein Update auf LiteSpeed WHM Plugin v5.3.2.1 oder höher, das das cPanel-Plugin v2.4.8 enthält. Der Hersteller schreibt außerdem, dass die Schwachstelle aktiv ausgenutzt werde.

Technisch geht es laut CVE-Beschreibung um den Umgang mit symbolischen Links. Ein Angreifer mit FTP- oder Web-Shell-Zugriff kann demnach auf einem Shared-Hosting-Server mit CloudLinux/CageFS manipulierte Symlinks platzieren. Das Plugin behandelt diese Links nicht korrekt. Daraus kann eine Ausweitung der Rechte entstehen, die im ungünstigen Fall Root-Zugriff auf dem Host ermöglicht.

Warum Administratoren reagieren sollten

Die Angriffsvoraussetzung ist nicht vollständig unauthentifiziert: Ein Angreifer benötigt bereits Zugriff auf ein Hosting-Konto oder eine Web-Shell. In Shared-Hosting-Umgebungen ist diese Hürde jedoch praxisnah, etwa wenn ein einzelnes Kundenkonto kompromittiert wurde oder wenn mehrere Mandanten auf demselben System arbeiten. Gerade deshalb ist die Lücke kritisch für Betreiber von Hosting-Servern, Reseller-Plattformen und Managed-Hosting-Umgebungen.

CISA nennt für US-Bundesbehörden eine sehr kurze Frist zur Behebung. Für Unternehmen im DACH-Raum ist diese Frist nicht unmittelbar verbindlich, sie zeigt aber die operative Dringlichkeit. Systeme mit installiertem LiteSpeed WHM Plugin sollten kurzfristig inventarisiert, aktualisiert und anschließend auf mögliche Spuren geprüft werden. Besonders wichtig ist der Abgleich, ob das User-End-Plugin überhaupt installiert war und ob CloudLinux/CageFS auf dem Server eingesetzt wird.

Welche Versionen betroffen sind

Nach aktuellem Stand sind LiteSpeed-cPanel-Plugin-Versionen vor 2.4.8 betroffen. Der CVE-Eintrag beschreibt die betroffene Komponente als cPanel Plugin von LiteSpeed Technologies, verteilt über das WHM and cPanel PlugIn. LiteSpeed nennt als empfohlene Zielversion das WHM Plugin v5.3.2.1 oder höher, gebündelt mit dem cPanel-Plugin v2.4.8. Wer eine ältere Installation betreibt oder automatische Plugin-Aktualisierungen deaktiviert hat, sollte nicht auf das nächste reguläre Wartungsfenster warten.

KomponenteBetroffenEmpfohlene Zielversion
LiteSpeed cPanel Plugin (User-End)Versionen vor 2.4.82.4.8 oder höher
LiteSpeed WHM PlugIn (Distribution)Versionen vor 5.3.2.05.3.2.1 oder höher (enthält cPanel Plugin 2.4.8)

Wichtig: Die LiteSpeed-Webserver-Software selbst (ohne cPanel-Plugin) ist nach aktuellem Stand nicht betroffen. Die Lücke liegt ausschließlich in der Plugin-Kombination aus WHM- und cPanel-Komponente für Hosting-Control-Panel-Umgebungen.

Prüfung auf mögliche Ausnutzung

LiteSpeed nennt eine Logprüfung, mit der Administratoren nach verdächtigen Mustern suchen können. Der folgende Befehl liest ausschließlich Logdateien und verändert keine Systemdaten:

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

Keine Ausgabe ist laut LiteSpeed ein Hinweis darauf, dass keine entsprechenden Spuren gefunden wurden. Bei Treffern sollten Administratoren die genannten Muster weiter prüfen, insbesondere eine auffällige Abfolge von generateEcCert und packageUserSize für denselben Benutzer, mehrere parallele Aufrufe und wiederholte Zugriffe von derselben Quell-IP. Treffer sind nicht automatisch ein bestätigter Vorfall, sollten aber wie ein Incident-Hinweis behandelt werden.

Empfohlene Maßnahmen

  1. Installierte LiteSpeed-WHM- und cPanel-Plugin-Versionen prüfen.
  2. Auf LiteSpeed WHM Plugin v5.3.2.1 oder höher aktualisieren.
  3. Bei nicht möglichem Update das User-End-cPanel-Plugin vorübergehend deaktivieren oder entfernen.
  4. cPanel- und Systemlogs auf die von LiteSpeed genannten Muster prüfen.
  5. Bei Verdacht betroffene Accounts, Webroots und Cronjobs kontrollieren sowie Zugangsdaten rotieren.

Die Lage ist damit kein allgemeiner Webserver-Fehler in LiteSpeed Web Server selbst, sondern betrifft eine spezifische Plugin-Kombination in Hosting-Control-Panel-Umgebungen. Für klassische Einzelserver ohne cPanel-Plugin ergibt sich aus den bisherigen Quellen kein direkter Handlungsbedarf. Für Shared-Hosting-Betreiber ist die Prüfung dagegen klar priorisiert.

Passende Anleitungen auf S-EDV

  1. Hestia Control Panel auf netcup Root-Server einrichten: Webhosting-Panel als Plesk-Alternative – wer eine cPanel-Umgebung mit LiteSpeed pflegt, findet hier eine schlanke Plesk-Alternative mit klarer Rechte- und Mandantentrennung.
  2. Linux-Server absichern: UFW-Firewall und Fail2ban – Grundlagen-Härtung, die auch Hosting-Server mit CageFS zusätzlich absichert.
  3. Docker-Images auf Schwachstellen scannen mit Trivy: CVE-Check, SBOM und automatisierter Workflow – wer regelmäßig den CVE-Status prüfen will, ergänzt seine LiteSpeed-Plugin-Inventur mit einem automatisierten CVE-Scan.

Quellen

  1. CISA: Known Exploited Vulnerabilities Catalog
  2. LiteSpeed Blog: Security Update for LiteSpeed cPanel Plugin
  3. CVE.org: CVE-2026-54420
  4. The Hacker News: CISA Flags LiteSpeed cPanel Plugin Flaw Exploited for Root Privilege Escalation
Verwandt

Weiter lesen

Alle Artikel →
Moderne IT-News-Grafik zur geschlossenen und ausgenutzten Cisco SD-WAN-Lücke CVE-2026-20262 mit Router, Sicherheitswarnung, Schutzschild, Update-Hinweis und Netzwerk-Symbolen.
16.06.2026 ·3 min

Cisco schließt ausgenutzte SD-WAN-Lücke CVE-2026-20262

Cisco hat Sicherheitsupdates für Catalyst SD-WAN Manager veröffentlicht. Die aktiv ausgenutzte Lücke CVE-2026-20262 kann zur Ausweitung von Rechten bis Root führen.
Hochverfügbarkeit auf netcup mit zwei VPS, Keepalived, Failover-IP und Cloud-vLAN für automatische Umschaltung und abgesicherte private Server-Kommunikation
13.06.2026 ·10 min

Hochverfügbarkeit auf netcup: Zwei VPS mit Keepalived, Failover-IP und Cloud-vLAN absichern

HA-Cluster aus zwei netcup-VPS: Keepalived überwacht per VRRP den Herzschlag über das private Cloud-vLAN, bei Ausfall schwenkt ein Skript die Failover-IP automatisch per netcup REST API um – typische Ausfallzeit unter 20 Sekunden.
Moderne Server-Infrastruktur mit leuchtenden Toggle-Schaltern symbolisiert Feature-Flag-Verwaltung
13.06.2026 ·3 min

Acer Wave-7-Router: Zwei ungepatchte Zero-Days mit CVSS 10 – Backdoor-Zugriff ohne Authentifizierung möglich

Zwei kritische Zero-Day-Schwachstellen in Acer Wave-7-Routern erlauben Angreifern ohne Authentifizierung vollständigen Netzwerkzugriff – ein Patch existiert noch nicht, Acer plant ein Firmware-Update erst für Ende Juni 2026.