mahfuzreham/litespeed-cpanel-cve-2026-54420-fix

# CVE-2026-54420 缓解工具包     用于在采用 **CloudLinux / CageFS** 的虚拟主机环境中缓解、审计和验证影响 **LiteSpeed cPanel Plugin** 的 **CVE-2026-54420** 漏洞的防御性工具包。 ## 关于 CVE-2026-54420 `CVE-2026-54420` 影响 **LiteSpeed cPanel Plugin / WHM Plugin** 的特定版本，在虚拟主机环境中，其 symlink 处理机制可能会被滥用。 在存在漏洞的配置中，低权限用户（例如通过被盗用的 FTP 账户、存在漏洞的网站或 web shell）可能会在特定条件下利用 symlink 行为尝试权限滥用。 此工具包可帮助管理员： * 应用推荐的缓解工作流 * 审计可疑的 symlink 活动 * 寻找入侵指标 (IOC) * 验证缓解状态 * 缩短主动利用期间的响应时间 ## 受影响版本 ### 存在漏洞 * LiteSpeed cPanel Plugin **< 2.4.8** * LiteSpeed WHM Plugin **< 5.3.2.0** ### 推荐 升级至： * LiteSpeed cPanel Plugin **≥ 2.4.8** * LiteSpeed WHM Plugin **≥ 5.3.2.0** 请始终以官方供应商的安全通告为准进行确认。 ## 功能 ✅ LiteSpeed 缓解自动化 ✅ CageFS 刷新和重新挂载支持 ✅ 可疑 symlink 检测 ✅ 针对虚拟主机遭到入侵的 IOC 排查 ✅ 验证工具 ✅ 轻量级基于 bash 的部署 ✅ 对托管提供商友好 ## 仓库结构 ``` CVE-2026-54420-Mitigation/ ├── README.md ├── LICENSE ├── fix.sh ├── detect_symlinks.sh ├── hunt_iocs.sh ├── verify.sh └── .github/ └── workflows/ └── shellcheck.yml ``` ## 安装说明 克隆仓库： ``` git clone https://github.com/mahfuzreham/CVE-2026-54420-Mitigation.git cd CVE-2026-54420-Mitigation ``` 为脚本添加可执行权限： ``` chmod +x *.sh ``` ## 快速开始 ### 1. 应用缓解措施 运行： ``` ./fix.sh ``` 此操作将： * 更新 LiteSpeed 组件 * 刷新 CageFS（如果已安装） * 重启 LiteSpeed 服务 * 显示已安装的版本 ### 2. 检测可疑 Symlink ``` ./detect_symlinks.sh ``` 这将检查预期账户路径之外可能存在的可疑 symlink 行为。 ### 3. 排查入侵指标 (IOC) ``` ./hunt_iocs.sh ``` 这有助于识别： * 最近修改的 PHP 文件 * 可疑的上传 * 潜在的 webshell 迹象 * 异常的 cron 条目 ### 4. 验证缓解状态 ``` ./verify.sh ``` 这将确认： * LiteSpeed 服务健康状况 * 已安装的软件包版本 * CageFS 状态 ## 推荐的管理员操作 响应此漏洞时： 1. **立即修补** 2. **审计虚拟主机账户** 3. **轮换被盗用的凭证** 4. **审查修改过的 PHP 上传文件** 5. **检查可疑的 cron 活动** 6. **验证 CageFS 隔离状态** 7. **审查访问日志** ## 防御性使用策略 此仓库严格用于： * 事件响应 * 防御性系统管理 * 安全加固 * 基础设施缓解 不可用于： * 未经授权的访问 * 漏洞利用 * 进攻性活动 * 服务中断 用户需自行负责遵守适用的法律和法规。

标签：cPanel, Shell脚本, 应用安全, 搜索语句（dork）, 漏洞缓解, 系统运维, 防御性安全