LiteSpeedプラグインに再び乗っ取りの穴 CVE-2026-54420、v2.4.8へ即更新を
レンタルサーバーで広く使われるLiteSpeedの管理プラグインに、5月に続いて2つ目の乗っ取り脆弱性CVE-2026-54420が見つかりました。安い契約1つで同居する他人のサイトまで管理者権限で乗っ取れ、すでに悪用が確認されています。対象はv2.4.8より前、mixhost等の国内サーバー利用者も確認を。
堀川 慎
Backend Engineer / AWS / Django / Go
レンタルサーバーで広く使われるLiteSpeedの管理プラグインに、5月に続いて2つ目の乗っ取り脆弱性CVE-2026-54420が見つかりました。安い契約1つで同居する他人のサイトまで管理者権限で乗っ取れ、すでに悪用が確認されています。対象はv2.4.8より前、mixhost等の国内サーバー利用者も確認を。
レンタルサーバーで広く使われる管理プラグイン「LiteSpeed cPanel Plugin」に、2つ目の乗っ取り脆弱性 CVE-2026-54420(深刻度 CVSS 8.5)が見つかりました。安い契約を1つ買ってログインできる程度の権限さえあれば、同じサーバーに同居している他人のサイトまで、サーバー全体の管理者権限で乗っ取れてしまう穴です。開発元のLiteSpeed社は、すでに2026年5月の時点で実際に攻撃へ使われていたことを認めています。
厄介なのは、これが「初めての穴」ではないことです。同じプラグインでは、ちょうど1か月前の5月にも CVSS 10.0という最大値の脆弱性 CVE-2026-48172 が攻撃され、米政府CISAの「実際に攻撃されている脆弱性リスト」に載ったばかりでした。今回のCVE-2026-54420は、その第2弾にあたります。対象は プラグインのバージョン2.4.8より前。利用者側で見落とされやすい部品だけに、運用しているレンタルサーバー事業者と、その上にサイトを置いている全員が確認すべき内容です。
何が起きたのか
まず登場人物を整理します。cPanel(シーパネル)は、レンタルサーバーの契約者が自分のサイトやメール、データベースをブラウザから管理するための画面です。LiteSpeed(ライトスピード)は、Apacheの代わりに使われる高速なWebサーバーソフトで、表示が速くなるとしてWordPress向けの共用サーバーで人気があります。今回問題になった「LiteSpeed cPanel Plugin」は、その両者をつなぐ橋渡しの部品で、契約者がcPanelの画面からLiteSpeedの設定(キャッシュやSSL証明書など)を触れるようにするものです。
この橋渡し部品に、低い権限の契約者が、本来は触れないはずのサーバー全体の管理者権限(root)まで手を伸ばせる欠陥がありました。攻撃の足がかりになるのは、FTPやWebの操作画面を持っているだけの一般契約者アカウントです。つまり、月数百円の最安プランを正規に1つ契約し、ログインできる人なら誰でもスタートラインに立てるということです。
root(ルート)とは、そのサーバーで何でもできる最上位の管理者権限のことです。これを一般契約者が奪うと、同じサーバーに相乗りしている数百のサイトのファイル、メール、データベース、管理画面のログイン情報までまとめて読み書きできるようになります。LiteSpeed社の説明によれば、今回の穴は CloudLinux(クラウドリナックス)と CageFS(ケージエフエス) という仕組みでサーバーを動かしている環境で成立します。CageFSは本来、契約者ごとに「檻(おり)」を作って互いのファイルを見えなくする、共用サーバーの安全装置です。ところが今回の脆弱性は、その檻を内側からこじ開ける性質を持っていました。
この「檻を破られる」という点が、1か月前の第1弾と今回の共通点です。攻撃の入口(使う関数)は違っても、行き着く先はどちらも「同居している他人を巻き込んだサーバー丸ごとの乗っ取り」です。海外のセキュリティ報道でも、共用ホスティングを狙う一連の攻撃として扱われています。
自分のサーバーは対象なのか
影響を受けるのは、LiteSpeed cPanel Plugin のバージョン2.4.8より前を入れたまま運用しているサーバーです。WHM(サーバー管理者向けの上位パネル)に入れる「LiteSpeed WHM Plugin」では、5.3.2.0より前が該当します。修正版はプラグイン v2.4.8(WHM Plugin v5.3.2.1)で、ここに上げれば塞がります。下の早見表で、自分の状況がどこにあたるかを確認してください。
| いま入っている版 | 状態 | やること |
|---|---|---|
| cPanel Plugin 2.4.8より前 | 危険 (攻撃確認済み) | v2.4.8へ即更新 または一旦削除 |
| WHM Plugin 5.3.2.0より前 | 危険 | v5.3.2.1へ即更新 |
| cPanel Plugin 2.4.8以降 | 本件は対策済み | ログの確認のみ |
| LiteSpeedを 使っていない | 本件の対象外 | 対応不要 |
サイトを置いているだけの利用者(契約者)には、自分のサーバーにこのプラグインが入っているかどうかは見えません。そこは契約しているレンタルサーバー事業者の領分です。ただし、後述するように国内でもLiteSpeed+CloudLinuxの組み合わせを使うサービスは存在するため、「自分には関係ない」と切り捨てる前に、公式の告知と契約先からの案内を一度確認しておく価値はあります。
980円の契約1つで、相乗り全員の鍵が手に入る
CVSS 8.5という数字だけ見せられても、それが自分の何を脅かすのかは伝わってきません。だから、この穴を実際に欲しがるのが誰で、踏まれた側が何を失うのかを先に書いておきます。1か月で2つ目という事実が示しているのは、これが偶然の取りこぼしではなく、特定の連中にとって極めて値打ちのある攻撃面だということです。
共用サーバーのrootを取りに来るのは、国家がらみのスパイ集団のような大物だけではありません。むしろ手が速いのは、仮想通貨を勝手に掘らせる業者、フィッシング詐欺の送り元サーバーを探している連中、サイトのデータを暗号化して数万ドルを要求するランサムウェアの運営者、乗っ取った機器の台数を闇市場で売りさばくボットネットの元締めです。彼らが本気で欲しがるのは「数百のサイトが相乗りしている1台のサーバー」という素材で、そこには契約者全員の管理画面のパスワード、メールの中身、データベース、決済ページのソース、顧客の名簿までが同居しています。このCVE-2026-54420を一度踏ませれば、最安プランを1つ買ってログインしただけの相手の手元に、その山がまるごと移ります。
セキュリティ業界では、こうした「相乗りの隣人を踏み台に、本来分離されているはずの他人の領域へ越境する」攻撃を、クロステナント・コンプロマイズ(テナント越境侵害)と呼びます。共用サーバーを売る事業者にとって、これは最も避けたい事故です。なぜなら被害が1契約で止まらず、同じ筐体に乗っている全契約者へ連鎖するからです。第1弾の48172では、乗っ取ったサーバーにIoT機器を踏み台化するMirai系ボットネットの亜種とランサムウェアが同時に送り込まれる例が観測されました。今回の穴も、攻撃の経路こそ違え、その先で起きることは変わりません。
CVSS 8.5は、攻撃の前提条件がやや厳しい(正規のログインと、いくつかの操作を畳みかける手間が必要)ことを反映して、満点の10.0からは少し下がっています。けれども、レンタルサーバーにサイトを置いている小さな会社や個人にとって本当に失われるのは、その0.数ポイントの差ではなく、ある朝アクセスしたら自分のサイトが詐欺ページに化けていて、顧客データが人質に取られている、という現実です。攻撃者にとっての「やや面倒」は、被害者にとっての「ほぼ無防備」とほとんど同義です。
技術的に何が起きているのか
CVE-2026-54420の正体は、シンボリックリンク(symlink)の扱いの甘さです。シンボリックリンクとは、別の場所にあるファイルを指す「ショートカット」のようなもので、Windowsのショートカットアイコンに近い仕組みです。問題は、管理者権限で動くプラグインが、一般契約者の置いたこのショートカットを無防備にたどってしまう点にあります。
CVE-2026-54420: 偽のショートカットで檻を破る
攻撃の流れはこうです。一般契約者が、自分の領域(檻の中)に「実体は檻の外の重要ファイルを指すショートカット」を仕掛けておきます。そこへプラグインの2つの機能、SSL証明書を生成する処理(generateEcCert)と契約者の使用量を集計する処理(packageUserSize)を、立て続けに呼び出します。LiteSpeed社の分析では、攻撃者は同じ接続元からこれらを7〜10回ほど一気に並行して叩く挙動を見せており、正規の画面操作では決して起きないパターンだと説明されています。管理者権限で動くプラグインが、並行処理のすき間でショートカットの先(檻の外)を管理者権限のまま読み書きしてしまい、結果として root が奪われます。CloudLinux/CageFSという安全装置が、皮肉なことに前提環境として成立条件になっているのが、この脆弱性の特徴です。
この型の弱点は珍しいものではなく、最近も 別のソフトでシンボリックリンクの悪用から乗っ取りに至る事例 が報告されています。仕組みは違っても「特権を持つ処理に、攻撃者が用意したリンクを無検証でたどらせる」という根は同じです。深刻度の評価軸は CWE-61(UNIXシンボリックリンクの追従) に分類されています。
管理者向けに、攻撃の痕跡を探すコマンドも公開されています。サーバーのログに、上の2つの機能が不自然に連続して呼ばれた形跡がないかを調べるものです。
| 目的 | コマンド(管理者がサーバー上で実行) |
|---|---|
| 悪用痕跡の確認 | grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)' /usr/local/cpanel/logs/ /var/cpanel/logs/ |
| 応急処置(削除) | /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall |
該当する記録が見つかった場合、そのサーバーはすでに侵入された可能性があります。更新だけで安心せず、不審なプロセスや改ざんされたファイルの調査まで踏み込む必要があります。
5月から6月、何が起きたかの時系列
同じプラグインで、1か月のうちに2つの乗っ取り穴が立て続けに塞がれました。第1弾(CVE-2026-48172)から今回の第2弾(CVE-2026-54420)までの流れを、日付で追います。
← スワイプで移動
1か月で2件、なぜ立て続けに穴が出るのか
同じ部品から短期間に深刻な脆弱性が連続するのには理由があります。LiteSpeed cPanel Pluginは、権限の低い契約者が出した要求を、権限の高い管理者プロセスが代わりに実行するという、構造的に難しい役回りを担っています。契約者ごとの「檻」を尊重しつつ、root権限でしか触れない設定を代行する。この「権限の橋渡し」は、わずかな検証漏れがそのまま越境につながるため、攻撃者にとって調べ甲斐のある一等地です。
第1弾はキャッシュ機能の権限処理、第2弾はSSL証明書まわりのシンボリックリンク処理と、突かれた場所は違います。けれども根は同じで、「管理者権限で動く処理が、契約者の与える入力を信用しすぎた」という1点に集約されます。第1弾が大きく報じられたことで、世界中の攻撃者とセキュリティ研究者の視線がこのプラグインに集まり、第2の穴が早く見つかった、という側面もあります。米政府が異例の早さで修正を促した背景にも、共用ホスティングという「1台落とせば数百サイトが落ちる」標的の重さがあります。
利用者側にとっての教訓は単純です。同じ製品で短期間に複数の深刻な脆弱性が出たときは、その部品が当面ねらわれ続けると考えて構えるべきだということです。今回のv2.4.8で2つ目が塞がれましたが、3つ目が出ない保証はどこにもありません。日頃から更新を素早く当てられる運用と、万一に備えたバックアップが、結局のところ最も効きます。今まさに攻撃されている脆弱性の動向は、米政府CISAの攻撃確認リスト(KEV)の日本語ダッシュボードでも追えます(第1弾の48172は登録済み、今回の54420は本記事公開時点では未登録です)。
日本のレンタルサーバー利用者への影響
「LiteSpeedにCloudLinux、cPanel」と聞くと海外の話に感じるかもしれませんが、この組み合わせは国内のレンタルサーバーでも使われています。代表例が mixhost(ミックスホスト) で、日本で唯一のLiteSpeed公式パートナーをうたい、共用サーバーながらCloudLinuxで契約者ごとの負荷を分離し、管理画面にcPanelを採用しています。つまり、今回の脆弱性が成立する「LiteSpeed+CloudLinux/CageFS+cPanel」という前提に、国内のサービスも当てはまり得るということです。
もちろん、各事業者が問題のプラグインを使っているか、すでに修正版へ更新済みかは事業者ごとに異なり、外からは分かりません。多くのまともな事業者は、cPanelによる強制アンインストールや公式の告知を受けて、利用者が気づく前に対応を済ませているはずです。だからこそ、利用者が今やるべきは「自分のサーバーを直す」ことではなく、「契約先がきちんと対応したかを確認する」ことになります。サーバー会社からの障害・メンテナンス告知やセキュリティ通知を見落とさず、不安なら問い合わせるのが正解です。
WordPressの高速化を理由にLiteSpeed系の共用サーバーを選んでいる個人や小規模事業者は国内にも一定数います。速さと引き換えに、こうした共用基盤特有の「隣人リスク」を背負っていることは、頭の片隅に置いておいて損はありません。LiteSpeed採用のレンタルサーバー比較のような情報を見て選ぶ際も、「速い」だけでなく「脆弱性が出たときの対応が速いか」を判断材料に加えるべきでしょう。
今すぐやること
立場によって打ち手が変わります。サーバーを運用する側と、サイトを置いている側に分けて整理します。
レンタルサーバーを運用している事業者・管理者の方は、LiteSpeed cPanel Plugin を v2.4.8(WHM Plugin v5.3.2.1)以降へ即更新してください。更新がすぐにできない事情があるなら、前掲のコマンドでプラグインを一旦削除するのが応急処置になります。あわせて、ログに generateEcCert と packageUserSize が不自然に連続して呼ばれた記録がないかを確認し、痕跡があれば侵害を前提に調査してください。第1弾の48172をまだ塞いでいない場合は、そちらの対応も同時に必要です。
レンタルサーバーにサイトを置いているだけの方は、プラグインを直接さわることはできません。やることは3つです。契約先のレンタルサーバーから届くセキュリティ・メンテナンス告知に目を通すこと、管理画面やメール・FTPのパスワードを念のため変更すること、そして自分のサイトとデータベースのバックアップを手元に確保しておくことです。万一サーバー側で乗っ取りが起きても、自前のバックアップがあれば被害から立ち直る速度がまるで違います。
確認済みの事実と、未確認の情報
✓ 確認済みの事実
- ✓CVE-2026-54420はLiteSpeed cPanel Plugin(2.4.8より前)のシンボリックリンク処理の不備で、CVSS 8.5(NVD)
- ✓FTPまたはWebシェル権限を持つ契約者が、CloudLinux/CageFS環境でrootへ昇格できる(LiteSpeed公式)
- ✓2026年5月の時点で実際に攻撃へ使われていた。報告はNamecheap、修正はv2.4.8/WHM v5.3.2.1
- ✓同じプラグインの第1弾CVE-2026-48172(CVSS 10.0)は5月26日にCISAのKEVへ登録済み(heise)
? 現時点で未確認の情報
- ?CVE-2026-54420そのものがCISAのKEVへ追加されるかどうか(本記事公開時点では未登録)
- ?どの国内レンタルサーバーが影響を受け、いつ更新を完了したかの個別状況(各社の公式案内を要確認)
- ?第2弾の攻撃で送り込まれたマルウェアの具体的な種類や被害規模
まとめ
レンタルサーバーの高速化に使われるLiteSpeedの管理プラグインで、1か月のうちに2つ目の乗っ取り脆弱性 CVE-2026-54420 が見つかり、すでに攻撃へ使われていました。安い契約を1つ買ってログインできるだけの相手が、同じサーバーに同居する他人のサイトまでまとめて奪える、という共用ホスティング特有の最悪パターンです。修正版は v2.4.8(WHM Plugin v5.3.2.1)。サーバーを運用する側は即更新を、サイトを置く側は契約先の対応確認とバックアップを進めてください。
同じ部品で深刻な穴が連続したという事実は、当面この場所がねらわれ続けることを示しています。続報が出れば本記事に追記します。
参照元
- ▸NVD - CVE-2026-54420
- ▸LiteSpeed Blog - Security Update for LiteSpeed cPanel Plugin(第2弾・2026年6月1日)
- ▸LiteSpeed Blog - Security Update for LiteSpeed cPanel Plugin(第1弾・2026年5月21日)
- ▸CIRCL Vulnerability-Lookup - CVE-2026-54420
- ▸heise online - LiteSpeed cPanel Plugin: Attacks observed
- ▸SecurityWeek - CISA Urges Immediate Patching of Exploited LiteSpeed cPanel Plugin
- ▸CISA - Known Exploited Vulnerabilities Catalog
- ▸本サイト - cPanel用LiteSpeedプラグインに最悪脆弱性(CVE-2026-48172)