LiteSpeed cPanel プラグインの脆弱性 CVE-2026-54420がKEVカタログに追加|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月17日更新日時: 2026年06月17日

米国CISA（Cybersecurity and Infrastructure Security Agency）は2026年6月15日、既知の悪用された脆弱性（KEV：Known Exploited Vulnerabilities）カタログにCVE-2026-54420（LiteSpeed cPanel Plugin UNIX Symbolic Link (Symlink) Following Vulnerability）を追加しました。

この脆弱性はCVSSスコア8.5（HIGH）と評価されており、共有ホスティングサーバー上でCloudLinux/CageFSを実行している環境において、FTPまたはWebシェルアクセスを持つユーザーがシンボリックリンクを悪用してroot権限に昇格できるという深刻な内容です。

LiteSpeed Technologiesの公式ブログによれば、この問題は2026年5月31日にNamecheap社から報告を受け、cPanelが同日に脆弱なユーザーエンドプラグインのアンインストールコマンドを配信、LiteSpeedは2026年6月1日にcPanelプラグインv2.4.8・WHMプラグインv5.3.2.1をリリースして修正しました。CVEの正式割り当ては2026年6月14日に行われ、2026年5月から実際に野生で悪用されていたことが確認されています。

CISAはBOD 26-04（リスクに基づくセキュリティ更新の優先順位付け）に基づき、連邦民間行政機関（FCEB）に対して2026年6月18日までの修正適用を義務付けています。注目すべきは、このLiteSpeed cPanelプラグインにおいて、わずか2週間前にも別の重大な特権昇格脆弱性（CVE-2026-48172、CVSS v4.0 10.0）が発覚しており、同一プラグインで短期間に2件目の重大インシデントとなっている点です。本記事では脆弱性の技術的詳細・検知方法・対応手順・連続する脆弱性発覚の背景を解説します。

サマリー

CVE番号：CVE-2026-54420
CVSSスコア：8.5（HIGH）——CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE分類：CWE-61（UNIX Symbolic Link (Symlink) Following）
対象：LiteSpeed cPanel Plugin（v2.4.8未満）／LiteSpeed WHM Plugin（v5.3.2.0未満）に同梱されたバージョン
影響環境：共有ホスティングサーバーでCloudLinux/CageFSを実行している環境
攻撃条件：攻撃者が事前にFTPまたはWebシェルアクセスを持っていること（低権限の侵害済みアカウントから開始可能）
影響：シンボリックリンクの不適切な処理により、CageFSによる分離（isolation）を回避しroot権限へ昇格
発見・報告：Namecheap社が2026年5月31日に報告
初動対応：2026年5月31日、cPanelがユーザーエンドプラグインのアンインストールコマンドを配信
修正版リリース：2026年6月1日——cPanelプラグインv2.4.8・WHMプラグインv5.3.2.1
CVE公開：2026年6月14日
CISA KEV追加：2026年6月15日
連邦機関対応期限：2026年6月18日
野生での悪用確認：2026年5月から（CVE公開・KEV追加より前から悪用が先行していた）
特記事項：同プラグインにおいて2週間前（5月19日報告）にも別の重大特権昇格脆弱性（CVE-2026-48172、CVSS v4.0 10.0）が発覚しており、短期間で連続する脆弱性となっている

1 脆弱性の技術的詳細
2 検知方法—自社サーバーが影響を受けているか確認する
- 2.1 悪用痕跡の確認コマンド
- 2.2 誤検知（False Positive）の判別方法
3 対応手順
4 同一プラグインで連続する重大脆弱性—背景にある構造的リスク
5 FAQ
6 参考情報

脆弱性の技術的詳細

シンボリックリンク（Symlink）の悪用とCageFS回避

LiteSpeed公式ブログおよびTheHackerWireの分析によれば、CVE-2026-54420の核心は「LiteSpeed cPanelプラグインがユーザーから提供されたシンボリックリンクを適切に処理（検証・サニタイズ）できていない」という問題にあります。

CloudLinux/CageFSは、共有ホスティング環境において各ユーザーアカウントを仮想的な「ケージ（カゴ）」に分離し、他のユーザーのファイルやシステムリソースへの不正アクセスを防ぐための隔離技術です。しかし今回の脆弱性では、攻撃者が用意した悪意あるシンボリックリンクをLiteSpeed cPanelプラグインが正しく検証しないため、このCageFSによる分離機構そのものを回避できてしまうという問題があります。

攻撃の前提条件——「すでに何らかのアクセスを持つ攻撃者」

この脆弱性の悪用には、攻撃者が事前に以下のいずれかを持っていることが前提となります（CVSSベクトルのPR:Lが示す通り、低権限が必要）。

共有ホスティングサーバー上のFTPアカウントへのアクセス
侵害された、または合法的に取得したWebシェルへのアクセス

つまりこの脆弱性単体では外部から直接root権限を奪取できるわけではなく、「何らかの形で既にユーザーレベルのアクセスを持っている攻撃者が、root権限まで昇格する」という二段階目の攻撃に使われるものです。共有ホスティング環境においては、フィッシングで盗まれたFTP認証情報・脆弱なWebアプリケーション経由でのWebシェル設置などにより、この「足がかり」は比較的容易に得られる場合があります。

共有ホスティングという「多数のテナント」への影響

CyCognitoの分析が指摘する通り、このタイプの脆弱性は共有ホスティング・マネージドサービス環境において特に危険です。1つの侵害されたホスティングアカウント、あるいは悪意を持った1人の顧客がいるだけで、同じサーバー上の他のすべてのアカウントを含むホスト全体のroot権限を奪取できる可能性があります。

検知方法—自社サーバーが影響を受けているか確認する

LiteSpeed公式ブログは、サーバーが既に悪用された可能性があるかどうかを確認するための具体的なコマンドを公開しています。

悪用痕跡の確認コマンド

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

このコマンドを実行して出力が何もない場合は、サーバーは影響を受けていない可能性が高いとされています。

誤検知（False Positive）の判別方法

上記コマンドで出力が確認された場合でも、即座に「悪用された」と断定せず、以下の2点を確認してください（LiteSpeed公式の指針）。

①ペアリングの確認：generateEcCertの呼び出しに即座に続けてpackageUserSizeが同一ユーザーに対して呼び出されているか（正規のUIフローではこれらは連続して呼び出されない）

②同時実行数の確認：1回の試行につき7〜10件の同時呼び出しがあるか（正規のUI操作は1件ずつ順番に処理される）

これらの条件に合致する場合、悪用の可能性が高いと判断できます。

対応手順

① 至急：LiteSpeed WHMプラグインを最新版にアップデート

wget -O- https://litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh | sh

このコマンドにより、LiteSpeed WHM Plugin v5.3.2.1（cPanelプラグインv2.4.8を同梱）が導入されます。

② 即時対応が困難な場合の緊急回避策——ユーザーエンドプラグインのアンインストール

すぐにアップデートできない場合は、脆弱なユーザーエンドプラグインを一時的に削除することで、脆弱性の悪用を回避できます。

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

③ アップデート後の再インストール・自動インストール設定

WHMプラグインの更新後、以下のコマンドでユーザーエンドプラグインを再インストールし、自動インストールを有効化できます。

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --install
/usr/local/lsws/admin/misc/lscmctl cpanelplugin -autoinstall 1

④ 連邦機関・米国政府関連業務委託先は6月18日までの対応が必須

CISAのBOD 26-04（Binding Operational Directive：拘束的運用指令）に基づき、連邦民間行政機関（FCEB）はKEVカタログに掲載された脆弱性について、指定された期限内の修正適用が義務付けられています。CVE-2026-54420の期限は2026年6月18日です。日本国内の組織であっても、米国政府機関と取引関係にある事業者・米国拠点を持つホスティング事業者は、この期限を一つの目安として優先対応することが推奨されます。

同一プラグインで連続する重大脆弱性—背景にある構造的リスク

今回のCVE-2026-54420は、同じLiteSpeed cPanelプラグインにおいて2週間足らずの間に発覚した2件目の重大な特権昇格脆弱性です。

項目	CVE-2026-48172（先行）	CVE-2026-54420（今回）
報告日	2026年5月19日	2026年5月31日
CVSSスコア	CVSS v4.0：10.0（Critical）	CVSS v3.1：8.5（High）
脆弱性の種類	CWE-266（不適切な権限割り当て）：`lsws.redisAble`関数の悪用	CWE-61（シンボリックリンク追従）：symlink処理の不備
修正版	cPanelプラグインv2.4.6→v2.4.7（WHM v5.3.0.0→v5.3.1.0）	cPanelプラグインv2.4.8（WHM v5.3.2.1）
CISA KEV期限	2026年6月16日	2026年6月18日

両者ともCloudLinux/CageFS環境における権限昇格という共通点を持ち、ホスティング事業者が短期間で複数回の緊急対応を強いられる事態となっています。Arabian Postの報道によれば、CVE-2026-48172の修正過程でLiteSpeedが実施した「より広範なセキュリティレビュー」の最中に、今回のCVE-2026-54420につながる別の攻撃経路が新たに浮上した可能性も指摘されており、プラグイン全体のセキュリティアーキテクチャの見直しが必要な段階にあると考えられます。

ホスティング事業者・cPanelを利用する組織の情報システム担当者は、LiteSpeedの公式ブログおよびCISA KEVカタログを定期的に確認し、同プラグインに関する追加の脆弱性情報がないかを継続的に監視することが推奨されます。

FAQ

Q. このバージョンを使用していない場合でも影響を受けますか？ A. 影響を受けるのはLiteSpeed cPanelプラグインv2.4.8未満、またはLiteSpeed WHM Plugin v5.3.2.0未満に同梱された旧バージョンのプラグインです。LiteSpeed Web Serverを使用していても、cPanelプラグインを導入していない、またはすでに最新版にアップデートされている場合は対象外です。

Q. すでに侵害された可能性をどう確認すればよいですか？ A. 本記事で紹介した検知コマンド（grep -rE）を実行し、出力内容を確認してください。出力が確認された場合は、フォレンジック調査の実施を検討してください。

Q. なぜCISAのKEVカタログに追加されることが重要なのですか？ A. KEVカタログは「実際に野生で悪用が確認された」脆弱性のみが掲載されるリストです。掲載されることで、その脆弱性が理論上のリスクではなく現実の攻撃に使われていることが公式に裏付けられ、対応の優先度を判断する上で重要な指標となります。