Il 15 giugno l’agenzia di cybersicurezza statunitense CISA ha inserito nel suo catalogo delle falle “note e attivamente sfruttate” una vulnerabilità che colpisce un componente molto diffuso nell’hosting condiviso: il plugin LiteSpeed per cPanel. Tradotto: è esattamente il tipo di server su cui vivono il sito vetrina e le caselle email di moltissime piccole imprese italiane. E gli attacchi, anche qui, sono già in corso.
Cosa fa la falla, in parole semplici
La vulnerabilità, identificata come CVE-2026-54420 (gravità CVSS 8.5), è un caso di privilege escalation: l’innalzamento dei privilegi. Un attaccante che abbia già un piede dentro il server — per esempio un accesso FTP o una web shell, cioè un piccolo programma malevolo caricato in precedenza — può sfruttarla per salire fino ai permessi di root, il livello massimo, quello dell’amministratore della macchina.
La parola chiave è hosting condiviso. Su un piano economico, decine o centinaia di siti diversi convivono sullo stesso server fisico, separati da tecnologie come CloudLinux o CageFS. Quelle barriere servono proprio a impedire che un sito possa “vedere” o toccare gli altri. Ottenere root significa scavalcare quelle barriere: l’attaccante non controlla più un solo sito, ma potenzialmente tutti quelli ospitati sulla stessa macchina.
CVE-2026-54420 nel plugin LiteSpeed per cPanel: da un accesso limitato a un singolo account si arriva ai privilegi di amministratore dell'intero server condiviso. Gravità CVSS 8.5, sfruttamento confermato.
Fonte: CISA, The Hacker News, BleepingComputer — giugno 2026
Perché riguarda chi non amministra nessun server
Qui sta la differenza rispetto alle solite notizie di sicurezza. La maggior parte delle piccole imprese non gestisce un server: compra un pacchetto di hosting e ci mette sopra sito ed email. L’amministrazione della macchina — cPanel, i plugin, gli aggiornamenti di sistema — è in mano al provider.
Per questo l’azione utile non è “aggiorna tu”, che non avrebbe senso: è una domanda precisa al tuo fornitore di hosting. Su un server condiviso, infatti, vale un principio scomodo ma reale: un problema del “vicino di server” può diventare il tuo. Se la macchina viene compromessa a livello root, anche un sito perfettamente in ordine può ritrovarsi con pagine modificate, malware distribuito ai visitatori o dati dei form di contatto esposti, senza che il proprietario abbia sbagliato nulla.
L'hosting condiviso è come un palazzo: la serratura della tua porta può essere perfetta, ma se cede il portone d'ingresso comune il problema arriva a tutti gli appartamenti. La manutenzione del portone spetta a chi amministra l'edificio, cioè il provider.
Cosa fare, in concreto
Anche senza competenze tecniche, le mosse sono semplici.
- Scrivi al tuo provider di hosting. Chiedi esplicitamente se utilizza il plugin LiteSpeed per cPanel e, in caso affermativo, se ha già applicato l’aggiornamento che corregge la CVE-2026-54420. Un provider serio risponde e, di norma, ha già provveduto.
- Chiedi conferma che il server non sia stato compromesso. È una domanda legittima da cliente: “potete confermare che il server su cui sono ospitato non presenta segni di compromissione legati a questa falla?”.
- Cambia le password di accesso, soprattutto FTP. Se per il tuo spazio web usi credenziali FTP vecchie o riutilizzate altrove, è il momento di rinnovarle: la falla parte proprio da un accesso già ottenuto.
In breve
CISA ha segnalato il 15 giugno una falla (CVE-2026-54420, CVSS 8.5) nel plugin LiteSpeed per cPanel, già sfruttata per ottenere il controllo completo (root) di server di hosting condiviso. Non è la prima del genere in poche settimane. Per chi ha sito ed email su un hosting che non amministra, la mossa giusta non è tecnica: è chiedere al proprio provider se è aggiornato e se il server è al sicuro. Una mail di due righe, oggi, vale più di qualsiasi preoccupazione.