ผู้ดูแลเซิร์ฟเวอร์ที่ใช้งาน LiteSpeed และ cPanel ควรตรวจสอบระบบโดยด่วน หลัง CISA เพิ่มช่องโหว่ CVE-2026-54420 ใน LiteSpeed cPanel Plugin เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) เนื่องจากพบว่ากำลังถูกนำไปใช้โจมตีจริงแล้ว
ช่องโหว่ CVE-2026-54420 มีคะแนนความรุนแรง CVSS 8.5 และเป็นช่องโหว่ประเภท Privilege Escalation ซึ่งอาจเปิดทางให้ผู้ใช้งานที่มี FTP หรือ Web Shell Access บน Shared Hosting Server ที่ใช้ CloudLinux หรือ CageFS สามารถยกระดับสิทธิ์ขึ้นเป็น Root ได้
LiteSpeed ระบุว่าช่องโหว่นี้ส่งผลกระทบต่อ LiteSpeed cPanel Plugin เวอร์ชันก่อน 2.4.8 ซึ่งมาพร้อมกับ LiteSpeed WHM Plugin เวอร์ชันก่อน 5.3.2.0 โดยมีสาเหตุมาจากการจัดการ Symbolic Link (Symlink) ที่ไม่เหมาะสม
แม้ยังไม่มีการเปิดเผยรายละเอียดของการโจมตี แต่ CISA ยืนยันว่าช่องโหว่นี้กำลังถูกนำไปใช้โจมตีจริงแล้ว ขณะที่ LiteSpeed เปิดเผยว่า Namecheap เป็นผู้รายงานช่องโหว่นี้เมื่อวันที่ 31 พฤษภาคม 2026
🔎 วิธีตรวจสอบเบื้องต้น
LiteSpeed แนะนำให้ผู้ดูแลระบบตรวจสอบ Log ของเซิร์ฟเวอร์เพื่อค้นหาร่องรอยที่อาจเกี่ยวข้องกับช่องโหว่นี้ โดยสามารถใช้คำสั่งต่อไปนี้
ในการตรวจสอบ
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
นอกจากนี้ การพบการเรียกใช้ generateEcCert และ packageUserSize ต่อเนื่องกันสำหรับผู้ใช้รายเดียวกัน อาจเป็นสัญญาณของการพยายามโจมตี
🛠 วิธีป้องกันและแก้ไข
LiteSpeed แนะนำให้ผู้ดูแลระบบอัปเดตเป็น LiteSpeed WHM Plugin เวอร์ชัน 5.3.2.1 ซึ่งมาพร้อมกับ LiteSpeed cPanel Plugin เวอร์ชัน 2.4.8 หรือใหม่กว่า เพื่อปิดช่องโหว่ดังกล่าว
แม้ว่าช่องโหว่นี้จะต้องอาศัยสิทธิ์เข้าถึงระบบบางส่วนก่อนจึงจะสามารถยกระดับสิทธิ์เป็น Root ได้ แต่การอัปเดตซอฟต์แวร์และปลั๊กอินให้เป็นเวอร์ชันล่าสุดอยู่เสมอ ยังคงเป็นแนวทางสำคัญในการลดความเสี่ยงด้านความปลอดภัยของเซิร์ฟเวอร์
ที่มา : thehackernews
