CISA KEV 警告 26/06/15:Cisco SD-WAN と LiteSpeed cPanel プラグインの脆弱性を KEV に登録

U.S. CISA adds Cisco Catalyst and LiteSpeed cPanel plugin flaws to its Known Exploited Vulnerabilities catalog

2026/06/16 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が、Cisco Catalyst および LiteSpeed cPanel プラグインの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。今回、カタログに追加された 2 件の脆弱性は、以下のとおりである。

  • CVE-2026-20262 (CVSS 6.5):Cisco Catalyst SD-WAN Manager のディレクトリまたはパス・トラバーサルの脆弱性
  • CVE-2026-54420 (CVSS 8.5):LiteSpeed cPanel Plugin の UNIX シンボリック・リンク (Symlink) 追跡の脆弱性

脆弱性 CVE-2026-20262 は、Cisco Catalyst SD-WAN Manager の Web インターフェイスに存在する任意ファイル書き込みの欠陥である。この脆弱性は、ファイルアップロード時におけるユーザー提供入力に対する不適切な検証に起因する。この欠陥を突く認証済みのリモート攻撃者は、細工された HTTP リクエストを通じて、基盤となるオペレーティング・システム上でのファイルの作成または上書きを可能にする。

攻撃に成功した攻撃者は、root への権限昇格を可能にする恐れがある。なお、悪用に際しては、低権限ユーザー・アカウントの有効な認証情報が必要である。

2 件目の脆弱性 CVE-2026-54420 は、CloudLinux または CageFS を実行する共有ホスティング・サーバ上の、LiteSpeed cPanel プラグインに影響を及ぼす権限昇格の欠陥である。この脆弱性は、ユーザーが制御するシンボリック・リンクに対する不適切な処理に起因し、FTP/Web シェル・アクセスを持つ攻撃者に対して、root 権限の取得を許すものである。

アドバイザリには、「この脆弱性は積極的に悪用されており、バージョン 2.4.8 以下のユーザー・サイド・プラグインにリスクをもたらす」と記されている。サーバに対する影響の有無を判断するために、以下のコマンドの使用が推奨されている。

grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null

出力がない場合、そのサーバは影響を受けていない。

コマンドが結果を返した場合には、対象となるサーバが悪用された可能性があるが、誤検知の可能性もある。管理者にとって必要なことは、同一ユーザーに対する generateEcCert と packageUserSize を連続して呼び出し、複数の同時リクエストや同一 IP による両エンドポイントへのアクセスといった、不審なパターンの確認である。

これらのインジケータが存在する場合には、システムログを確認し、悪意の活動と潜在的な影響を評価する必要がある。

LiteSpeed が管理者に対して推奨するのは、LiteSpeed WHM Plugin v5.3.2.1 (cPanel plugin v2.4.8 を含む) 以降へアップグレードであるが、それと並行して、侵害インジケータを確認するためにサーバログを調査するよう助言している。

Namecheap は、2026年5月31日付けで、この脆弱性を責任ある形で開示した。

Binding Operational Directive (BOD) 22-01 に基づき、同カタログに記載された脆弱性を修正するために、FCEB 機関は指定された期限までに対処する必要がある。

CISA は連邦機関に対して、LiteSpeed cPanel プラグインの脆弱性を 2026年6月18日までに緊急修正するよう命じている。また、Cisco Catalyst の脆弱性については、2026年6月29日までに修正するよう命じている。

専門家たちは民間組織に対しても、KEV カタログを確認し、自組織のインフラに存在する脆弱性へ対応することを推奨している。

訳者後書:Cisco Catalyst SD-WAN Manager と LiteSpeed cPanel プラグインの脆弱性が、CISA KEV に登録されました。これらの問題の背景には、外部から送られてくる入力データに対する検証ルールの不備や、ユーザー側が指定した特殊なリンクに対する不完全な処理があります。この影響により、Catalyst SD-WAN ではパス・トラバーサル問題が生じ、LiteSpeed cPanel で不適切なファイル書き込みやシステム権限の乗っ取りが生じます。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。