LiteSpeed Technologies tarafından yayınlanan güvenlik duyurusuna göre, LiteSpeed cPanel/WHM eklentisinde tespit edilen CVE-2026-54420 numaralı kritik güvenlik açığı, CISA'nın (Cybersecurity and Infrastructure Security Agency) aktif olarak istismar edilen güvenlik açıkları listesine eklenmiştir. CVSS 8.5 puanına sahip olan bu açık, özellikle paylaşımlı hosting sunucuları için ciddi bir risk oluşturmaktadır.
Eğer sunucunuzda LiteSpeed Web Server ve cPanel/WHM kullanıyorsanız, sisteminizi mümkün olan en kısa sürede güncellemeniz önerilmektedir.
CVE-2026-54420, LiteSpeed cPanel/WHM eklentisinde bulunan bir yetki yükseltme (Privilege Escalation) açığıdır. Bu açık sayesinde FTP erişimi veya web shell erişimi bulunan kötü niyetli bir kullanıcı, sistemdeki sembolik bağlantı (symlink) işlemlerini kötüye kullanarak root yetkilerine ulaşabilmektedir.
Root yetkisi elde eden bir saldırgan:
Sunucudaki tüm dosyalara erişebilir.
Diğer hosting hesaplarını görüntüleyebilir.
Veritabanlarını ele geçirebilir.
Zararlı yazılım yerleştirebilir.
Sunucunun tamamının kontrolünü sağlayabilir.
Bu nedenle açık oldukça kritik seviyede değerlendirilmektedir.
Aşağıdaki sürümler risk altındadır:
LiteSpeed cPanel Plugin 2.4.8 öncesi sürümler
LiteSpeed WHM Plugin 5.3.2.0 öncesi sürümler
Eğer sisteminiz bu sürümlerden birini kullanıyorsa güncelleme yapılması gerekmektedir.
LiteSpeed tarafından yayınlanan güvenlik güncellemesini yükleyerek risk ortadan kaldırılabilir.
Önerilen sürüm:
LiteSpeed WHM Plugin 5.3.2.1 veya üzeri
LiteSpeed cPanel Plugin 2.4.8 veya üzeri
WHM paneliniz üzerinden LiteSpeed eklentisini açarak güncelleme işlemini gerçekleştirebilirsiniz. Yeni sürümlerde güncelleme butonu doğrudan arayüz içerisinde sunulmaktadır.
LiteSpeed tarafından paylaşılan aşağıdaki komut ile sistem günlüklerinde olası saldırı girişimlerini kontrol edebilirsiniz:
grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
Komut herhangi bir çıktı vermiyorsa sistem günlüklerinde bu açıkla ilgili bir aktivite tespit edilmemiştir.
Ancak aşağıdaki durumlar saldırı girişimine işaret edebilir:
Aynı kullanıcı için generateEcCert çağrısından hemen sonra packageUserSize çağrısı yapılması
Aynı anda 7 ila 10 adet eş zamanlı istek oluşturulması
Bu davranışlar normal LiteSpeed kullanım senaryolarında görülmez.
Özellikle CloudLinux ve CageFS kullanan paylaşımlı hosting sunucuları bu güvenlik açığından daha fazla etkilenmektedir. Çünkü saldırganın yalnızca bir hosting hesabına erişmesi bile tüm sunucunun tehlikeye girmesine neden olabilir.
Bu nedenle hosting firmalarının ve sistem yöneticilerinin güncellemeleri geciktirmeden uygulaması büyük önem taşımaktadır.
CVE-2026-54420 güvenlik açığı, LiteSpeed WHM eklentisini kullanan sistemler için ciddi bir tehdit oluşturmaktadır. Eğer sunucunuzda LiteSpeed Web Server ve cPanel/WHM kullanıyorsanız, LiteSpeed WHM Plugin v5.3.2.1 veya daha yeni bir sürüme yükseltme yapmanız önerilir.
Güvenlik açıklarının aktif olarak istismar edildiği günümüzde, düzenli güncelleme ve log kontrolleri sunucu güvenliğinin en önemli parçalarından biridir.
