概要
LiteSpeed の cPanel プラグイン(バージョン 2.4.8 未満、LiteSpeed WHM PlugIn 5.3.2.0 未満)において、CloudLinux/CageFS を使用した共有ホスティング環境でシンボリックリンクを悪用したファイルアクセスが可能な脆弱性です(CWE-61)。
FTP アクセスまたは Web シェルを持つユーザーが、シンボリックリンクを作成することで CageFS の制限を回避し、本来アクセスできないファイルを読み書きできる状態となります。共有ホスティング環境では、他テナントのデータや設定ファイルへの不正アクセスにつながる可能性があります。
重要: 2026年5月から野生での悪用が確認されています。 パッチが提供されているため、対象バージョンを使用している場合は早急なアップデートを推奨します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| スコア | 8.5(High) |
| 攻撃経路(AV) | ネットワーク(N) |
| 攻撃の複雑さ(AC) | 低(L) |
| 権限要件(PR) | 低(L) |
| ユーザー操作(UI) | 不要(N) |
| スコープ(S) | 変更あり(C) |
| 機密性への影響(C) | 高(H) |
| 完全性への影響(I) | 高(H) |
| 可用性への影響(A) | なし(N) |
| CWE | CWE-61(OS ファイルシステムでの不適切なリンク解決) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| LiteSpeed cPanel plugin | LiteSpeed Technologies | < 2.4.8 | 2.4.8 |
| LiteSpeed WHM PlugIn | LiteSpeed Technologies | < 5.3.2.0 | 5.3.2.0 |
修正バージョンと回避策
推奨対応: 即時アップデート
- LiteSpeed cPanel plugin を 2.4.8 以降 にアップデートする
- LiteSpeed WHM PlugIn を 5.3.2.0 以降 にアップデートする
アップデートが困難な場合の回避策:
- FTP アクセス権限を持つユーザーの最小化
- Web シェルが設置されていないかスキャンを実施する
- CageFS の設定を見直し、シンボリックリンクの制限を強化する
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。