Resellnom/litespeed-cpanel-cve-2026-54420-fix

# CVE-2026-54420 缓解工具包     用于缓解、审计和验证 **CVE-2026-54420** 的防御性工具包。该漏洞影响在使用 **CloudLinux / CageFS** 的共享主机环境中的 **LiteSpeed cPanel Plugin**。 ## 关于 CVE-2026-54420 `CVE-2026-54420` 影响 **LiteSpeed cPanel Plugin / WHM Plugin** 的某些版本，在共享主机环境中，其符号链接处理机制可能会被滥用。 在存在漏洞的配置中，低权限用户（例如通过被盗用的 FTP 账户、存在漏洞的网站或 web shell）可能会在特定条件下利用符号链接行为尝试提权滥用。 此工具包可帮助管理员： * 应用推荐的缓解工作流 * 审计可疑的符号链接活动 * 追踪入侵指标 (IOC) * 验证修复状态 * 缩短主动漏洞利用期间的响应时间 ## 受影响版本 ### 存在漏洞 * LiteSpeed cPanel Plugin **< 2.4.8** * LiteSpeed WHM Plugin **< 5.3.2.0** ### 推荐 升级至： * LiteSpeed cPanel Plugin **≥ 2.4.8** * LiteSpeed WHM Plugin **≥ 5.3.2.0** 请始终对照官方供应商的安全公告进行确认。 ## 功能 ✅ LiteSpeed 缓解自动化 ✅ CageFS 刷新与重新挂载支持 ✅ 可疑符号链接检测 ✅ 针对共享主机入侵的 IOC 追踪 ✅ 验证实用工具 ✅ 轻量级基于 bash 的部署 ✅ 对托管提供商友好 ## 仓库结构 ``` CVE-2026-54420-Mitigation/ ├── README.md ├── LICENSE ├── fix.sh ├── detect_symlinks.sh ├── hunt_iocs.sh ├── verify.sh └── .github/ └── workflows/ └── shellcheck.yml ``` ## 安装说明 克隆仓库： ``` git clone https://github.com/resellnom/CVE-2026-54420-Mitigation.git cd CVE-2026-54420-Mitigation ``` 为脚本添加可执行权限： ``` chmod +x *.sh ``` ## 快速开始 ### 1. 应用缓解措施 运行： ``` ./fix.sh ``` 这将执行以下操作： * 更新 LiteSpeed 组件 * 刷新 CageFS（如果已安装） * 重启 LiteSpeed 服务 * 显示已安装的版本 ### 2. 检测可疑符号链接 ``` ./detect_symlinks.sh ``` 此操作将检查预期账户路径之外的潜在可疑符号链接行为。 ### 3. 追踪入侵指标 (IOC) ``` ./hunt_iocs.sh ``` 这有助于识别： * 最近修改的 PHP 文件 * 可疑的上传文件 * 潜在的 web shell 指标 * 异常的 cron 条目 ### 4. 验证修复状态 ``` ./verify.sh ``` 这将确认： * LiteSpeed 服务健康状况 * 已安装的软件包版本 * CageFS 状态 ## 推荐的管理员操作 在响应此漏洞时： 1. **立即打补丁** 2. **审计共享主机账户** 3. **轮换被盗用的凭证** 4. **审查已修改的 PHP 上传文件** 5. **检查可疑的 cron 活动** 6. **验证 CageFS 隔离状态** 7. **审查访问日志** ## 防御性使用策略 本仓库严格用于： * 事件响应 * 防御性系统管理 * 安全加固 * 基础设施修复 不可用于： * 未经授权的访问 * 漏洞利用 * 进攻性活动 * 服务中断 用户需对遵守适用的法律法规负责。

标签：Shell脚本, 共享主机, 应用安全, 搜索语句（dork）, 漏洞缓解, 运维工具