أعلنت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) عن إضافة ثغرة أمنية خطيرة في LiteSpeed cPanel Plugin إلى قائمة الثغرات المستغلة المعروفة (KEV)، ما يُلزم الوكالات الفيدرالية المدنية بتنفيذ الإصلاحات قبل 18 يونيو 2026.
الثغرة، المعرّفة بالرمز CVE-2026-54420، تحمل درجة خطورة CVSS 8.5، وتسمح لمستخدم يمتلك وصولًا عبر FTP أو web shell بالتصعيد إلى صلاحيات الجذر (root) على خوادم الاستضافة المشتركة التي تعمل بنظام CloudLinux أو CageFS.
كيفية الاستغلال والفحص
وفقًا لوصف الثغرة في CVE.org، فإن الإصدارات السابقة لـ LiteSpeed cPanel plugin (قبل 2.4.8) تعاني من سوء معالجة للروابط الرمزية (symlinks)، ما يتيح للمهاجمين استغلالها للوصول إلى صلاحيات أعلى.
وقد أوصت LiteSpeed المستخدمين بتنفيذ الأمر التالي للتحقق من تأثر الخوادم.
- إذا لم يُظهر الأمر أي نتائج، فهذا يعني أن الخادم غير متأثر.
- إذا ظهرت نتائج، يجب التحقق من مؤشرات إضافية مثل:
- وجود سلسلة أوامر generateEcCert متبوعة بـ packageUserSize لنفس المستخدم (وهو أمر غير طبيعي).
- وجود 7-10 استدعاءات متزامنة في المحاولة الواحدة (بينما التدفق الشرعي ينفذها واحدة تلو الأخرى).
دور Namecheap والإصلاحات
شركة Namecheap كانت أول من نبّه LiteSpeed إلى هذه الثغرة في 31 مايو 2026. وقد أصدرت LiteSpeed تحديثًا عاجلًا عبر LiteSpeed WHM Plugin v5.3.2.1 (المرفق مع cPanel plugin v2.4.8) لإصلاح المشكلة. يُنصح جميع المستخدمين بالترقية فورًا إلى هذا الإصدار أو أحدث لضمان سد الثغرة.
أهمية إدراجها في KEV
إدراج الثغرة في قائمة KEV يعني أنها تُعتبر مستغلة بالفعل في الهجمات، حتى وإن لم تُكشف تفاصيل دقيقة عن أسلوب الاستغلال أو مدى نجاحه. هذا يضعها ضمن الأولويات القصوى للوكالات الفيدرالية والمؤسسات التي تعتمد على LiteSpeed في بيئات الاستضافة المشتركة، نظرًا لخطورة التصعيد إلى صلاحيات الجذر وما يترتب عليه من سيطرة كاملة على الخادم.
