Back to Blog

CISA เตือนช่องโหว่ใน LiteSpeed cPanel Plugin ถูกใช้โจมตียกระดับสิทธิเป็น root

CISA เพิ่มช่องโหว่ CVE-2026-54420 ใน LiteSpeed cPanel Plugin เข้าในแคตตาล็อก KEV พร้อมสั่งหน่วยงานรัฐบาลกลางสหรัฐฯ แก้ไขภายใน 18 มิถุนายน 2026

Sales
1 min read
CISA เตือนช่องโหว่ใน LiteSpeed cPanel Plugin ถูกใช้โจมตียกระดับสิทธิเป็น root

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา หรือ CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อ LiteSpeed cPanel Plugin ลงในแคตตาล็อก Known Exploited Vulnerabilities หรือ KEV โดยกำหนดให้หน่วยงานใน Federal Civilian Executive Branch หรือ FCEB ดำเนินการแก้ไขภายในวันที่ 18 มิถุนายน 2026

ช่องโหว่ดังกล่าวได้รับการระบุในรหัส CVE-2026-54420 ซึ่งมีคะแนน CVSS อยู่ที่ 8.5 และถูกอธิบายว่าเป็นกรณีของการยกระดับสิทธิ์หรือ Privilege Escalation ที่อาจนำไปสู่การควบคุมระบบในระดับรูท


รายละเอียดของช่องโหว่


CVE-2026-54420 เป็นช่องโหว่ที่เกิดขึ้นใน LiteSpeed cPanel Plugin ซึ่งเป็นปลั๊กอินที่ใช้สำหรับการจัดการเว็บเซิร์ฟเวอร์ร่วมกับ cPanel โดยช่องโหว่นี้เปิดทางให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนจากผู้ใช้ทั่วไปไปเป็นผู้ใช้ระดับรูทได้ การที่ช่องโหว่มีคะแนน CVSS สูงถึง 8.5 บ่งชี้ถึงความรุนแรงระดับสูงที่อาจส่งผลกระทบอย่างรุนแรงต่อระบบที่ได้รับผลกระทบ


การตอบสนองของ CISA


CISA ซึ่งเป็นหน่วยงานหลักด้านความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐฯ ได้ประกาศให้ช่องโหว่นี้เป็นช่องโหว่ที่ถูกใช้โจมตีจริง โดยการเพิ่มเข้าในแคตตาล็อก KEV นั้นหมายความว่าหน่วยงานของรัฐบาลกลางสหรัฐฯ ทุกแห่งต้องดำเนินการอัปเดตแพตช์หรือใช้มาตรการบรรเทาผลกระทบภายในกรอบเวลาที่กำหนด ซึ่งในกรณีนี้คือภายในวันที่ 18 มิถุนายน 2026 การดำเนินการนี้เป็นส่วนหนึ่งของนโยบายการจัดการช่องโหว่แบบผูกพันตามกฎหมาย Binding Operational Directive


ผลกระทบต่อองค์กรและผู้ใช้


ช่องโหว่ CVE-2026-54420 ไม่ได้ส่งผลกระทบเฉพาะต่อหน่วยงานรัฐบาลกลางเท่านั้น แต่องค์กรและผู้ใช้ที่ใช้งาน LiteSpeed cPanel Plugin ทั่วโลกก็มีความเสี่ยงเช่นกัน การที่ช่องโหว่ถูกใช้โจมตีจริงในวงกว้างหมายความว่าผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาตและยกระดับสิทธิของตน ซึ่งอาจนำไปสู่การขโมยข้อมูล การทำลายระบบ หรือการติดตั้งมัลแวร์เพิ่มเติม


แนวทางการป้องกันและแก้ไข


ผู้ดูแลระบบควรดำเนินการอัปเดต LiteSpeed cPanel Plugin เป็นเวอร์ชันล่าสุดที่ได้รับการแก้ไขช่องโหว่ทันที โดยหน่วยงาน FCEB ต้องดำเนินการให้เสร็จภายในวันที่ 18 มิถุนายน 2026 ตามคำสั่งของ CISA นอกจากนี้ องค์กรทั่วไปควรติดตามประกาศจาก LiteSpeed และ cPanel อย่างใกล้ชิด รวมถึงใช้มาตรการด้านความปลอดภัยอื่น ๆ เช่น การจำกัดสิทธิ์การเข้าถึงระบบ และการตรวจสอบ Log การเข้าถึงอย่างสม่ำเสมอ


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด