Un riesgo silencioso en hosting compartido
Se detectó una vulnerabilidad crítica en el plugin de usuario de LiteSpeed para cPanel que está siendo explotada activamente. Esta falla permite a atacantes con acceso limitado, como credenciales FTP o un web shell comprometido, escalar privilegios hasta obtener control total del servidor.
¿Qué implica esta vulnerabilidad?
El problema afecta exclusivamente al plugin de usuario, no al de WHM, aunque al venir empaquetados juntos, muchos entornos pueden estar expuestos si no actualizan. La vulnerabilidad permite abusar de llamadas internas a la API del plugin, evadiendo las restricciones de aislamiento que ofrece CloudLinux CageFS. Esto rompe la separación entre usuarios en un servidor compartido, poniendo en riesgo a todos los inquilinos.
Los atacantes ejecutan secuencias anómalas de llamadas a funciones internas, como generateEcCert y packageUserSize, en ráfagas simultáneas y automatizadas, algo que no ocurre en el uso legítimo. Este patrón facilita la detección mediante análisis de logs, ya que genera múltiples solicitudes concurrentes desde una misma IP.
Respuesta y mitigación
LiteSpeed lanzó un parche en la versión 2.4.8 del plugin para cPanel, incluido en la versión 5.3.2.1 del plugin WHM, que corrige los controles de acceso y mejora la gestión de la API. La recomendación es actualizar cuanto antes para cerrar esta puerta de entrada.
En casos donde la actualización inmediata no sea posible, eliminar temporalmente el plugin de usuario puede reducir la superficie de ataque hasta aplicar el parche.
Reflexión final
Esta vulnerabilidad subraya la importancia de mantener actualizados los componentes críticos en entornos compartidos. Un solo usuario comprometido puede poner en jaque la seguridad de todo el servidor. Además, revisar los registros para detectar patrones inusuales puede ayudar a identificar intentos previos de explotación.
¿Tu equipo está monitoreando activamente estas señales? La prevención comienza con la visibilidad y la acción oportuna.
