Uma falha crítica no plugin LiteSpeed cPanel permite que qualquer usuário com acesso FTP ou web shell conquiste privilégios de root em servidores de hospedagem compartilhada. A vulnerabilidade CVE-2026-54420 (CVSS 8,5) quebra o isolamento entre contas garantido por CloudLinux e CageFS, e a CISA confirmou exploração ativa — com prazo de correção para órgãos americanos vencido em 18 de junho de 2026. Servidores de hospedagem brasileiros que rodam cPanel com LiteSpeed estão diretamente no alvo.

Pontos-chave: a falha afeta versões do plugin LiteSpeed cPanel anteriores à 2.4.8 (WHM Plugin anterior à 5.3.2.0); um único inquilino comprometido pode assumir o servidor inteiro e acessar todos os sites, bancos de dados e certificados SSL dos demais clientes; a correção exige atualizar para WHM Plugin 5.3.2.1 ou superior.

O ataque que quebra o isolamento

A premissa da hospedagem compartilhada é simples: cada cliente vê apenas seus próprios arquivos. Tecnologias como CloudLinux e seu módulo CageFS criam gaiolas virtuais que separam os usuários, impedindo que um inquilino espreite os dados do vizinho. A CVE-2026-54420 destrói essa barreira. Um invasor que consiga qualquer credencial de nível baixo — uma senha FTP fraca, uma conta comprometida por phishing ou um shell web implantado num plugin WordPress vulnerável — consegue escalar até root, o usuário máximo do sistema.

Nas palavras do registro oficial, “o plugin LiteSpeed cPanel anterior à versão 2.4.8 lida incorretamente com symlinks fornecidos por um usuário com acesso FTP ou web shell em um servidor de hospedagem compartilhada que roda CloudLinux/CageFS“, segundo a base de dados CVE. Em termos práticos, isso significa comprometimento total do servidor a partir de um único ponto de entrada mínimo — um cenário semelhante ao sequestro em massa de servidores em nuvem observado em outras campanhas recentes, como a operação PCPJack.

Como a falha funciona tecnicamente

O mecanismo explora o tratamento incorreto de symlinks (links simbólicos) pelo plugin LiteSpeed. Em condições normais, o CageFS bloqueia um usuário de criar links que apontem para fora de sua gaiola. O plugin LiteSpeed, no entanto, processa certos symlinks fornecidos pelo usuário com privilégios elevados e acaba seguindo-os para áreas restritas do sistema de arquivos — incluindo diretórios acessíveis apenas a root.

Segundo análise da Red Secure Tech, a cadeia de ataque é direta: o invasor cria um symlink manipulado dentro de sua própria conta, aciona funções internas do plugin LiteSpeed que processam esse link com permissões elevadas e obtém acesso de leitura e execução em todo o servidor. Não há necessidade de zero-day adicional — basta o caminho aberto por essa única falha.

A publicação ProbablyPwned detalha que o ataque tipicamente encadeia duas chamadas de API — generateEcCert seguida imediatamente de packageUserSize para o mesmo usuário — um padrão que jamais ocorre em uso legítimo da interface. Explorações reais disparam de 7 a 10 chamadas concorrentes por tentativa, enquanto o uso normal faz uma de cada vez.

O impacto real no Brasil

A pilha cPanel + LiteSpeed é onipresente na hospedagem brasileira. Dezenas de provedores nacionais — de pequenos revendedores a operações de datacenter consolidadas — vendem planos que combinam exatamente esses componentes com CloudLinux e CageFS como argumento de segurança. Quando um único servidor agrupa centenas ou milhares de sites de clientes distintos, a matemática do risco é brutal: um único inquilino descuidado abre as portas para todos os demais.

O cenário agrava-se porque a maioria dos donos de pequenos sites brasileiros nunca ouviu falar em CVE, não administra o servidor e sequer sabe qual versão do plugin LiteSpeed roda na máquina onde está hospedado. A responsabilidade recai quase inteiramente sobre o provedor de hospedagem — e a janela de correção foi curta. A CISA incluiu a falha no catálogo KEV em 15 de junho e fixou o prazo em apenas três dias, conforme reportou o The Hacker News. Esta não é a primeira vez que a LiteSpeed aparece no KEV — uma entrada anterior já havia sinalizado o padrão de risco do plugin.

Cronologia de uma vulnerabilidade acelerada

A linha do tempo desta falha é incomumente comprimida e merece atenção. O provedor Namecheap denunciou o problema à LiteSpeed em 31 de maio de 2026. Um dia depois, em 1º de junho, já existia correção disponível. O identificador CVE foi atribuído em 14 de junho e, menos de 24 horas depois, a CISA confirmou exploração ativa no mundo real e adicionou a falha ao KEV.

Data Evento
31/05/2026 Namecheap reporta a falha à LiteSpeed
01/06/2026 LiteSpeed lança correção (plugin 2.4.8)
14/06/2026 Atribuição oficial do identificador CVE-2026-54420
15/06/2026 CISA confirma exploração ativa e adiciona ao KEV
18/06/2026 Prazo final de correção para órgãos americanos

O intervalo de apenas duas semanas entre correção disponível e exploração confirmada sugere que invasores já dominavam o vetor ou obtiveram o detalhe técnico com rapidez inusitada. Para provedores brasileiros que só atualizam o WHM Plugin mensalmente, a janela de exposição pode já ter durado mais de duas semanas.

Sinais de servidor comprometido

A LiteSpeed publicou um comando de verificação para que administradores examinem logs em busca de traços de exploração. A verificação deve rodar diretamente no servidor via SSH com privilégios de root:

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

Se o comando não retornar nada, o servidor provavelmente não foi atingido. Se houver saída, é preciso confirmar três sinais de comprometimento real, listados pela LiteSpeed via The Hacker News: chamadas generateEcCert seguidas imediatamente de packageUserSize para o mesmo usuário; de 7 a 10 chamadas concorrentes por tentativa; e padrões que não correspondem a nenhum fluxo legítimo da interface administrativa.

Equipes de segurança devem também auditar symlinks criados recentemente nos diretórios de usuários, verificar mudanças inesperadas de privilégio e rastrear processos root originados a partir de contextos de usuário comum.

Como se proteger agora

A correção é direta, mas exige ação no nível do servidor — algo que o cliente final não controla. A lista abaixo resume o caminho completo de mitigação:

  • Atualize o WHM Plugin para a versão 5.3.2.1 ou superior (inclui o plugin cPanel 2.4.8 corrigido);
  • Audite contas FTP e desative acessos órfãos, desnecessários ou com senhas fracas;
  • Revise symlinks nos diretórios home dos usuários em busca de padrões suspeitos;
  • Ative log detalhado das chamadas de API para detectar tentativas de exploração;
  • Verifique a integridade do CageFS e considere isolamento adicional temporário dos servidores não corrigidos.

Para quem hospeda site em provedor compartilhado brasileiro, a pergunta urgente ao suporte é simples: “O servidor roda plugin LiteSpeed cPanel — qual a versão instalada e já foi atualizado para 2.4.8 ou superior?”. Se a resposta for vaga ou demorar, vale considerar provedor alternativo ou migrar para VPS com administração própria.

O padrão mais amplo é inquietante. Plugins de cPanel já caíram no KEV outras vezes por caminhos de escalonamento de privilégio semelhantes, conforme nota da ProbablyPwned. A hospedagem compartilhada, vendida como solução madura e barata, continua produzindo vetores de comprometimento total — e quem confia dados sensíveis a esse modelo precisa pesar a economia contra riscos recorrentes como este.

Referências