cPanel đã phát hành các bản cập nhật để khắc phục ba lỗ hổng trong cPanel và Web Host Manager (WHM) có thể bị khai thác để thực hiện leo thang đặc quyền, thực thi mã và tấn công từ chối dịch vụ (denial-of-service).
Danh sách các lỗ hổng bảo mật
- CVE-2026-29201 (Điểm CVSS: 4.3) - Lỗi kiểm tra đầu vào không đầy đủ đối với tên tệp tính năng trong lệnh gọi adminbin "feature::LOADFEATUREFILE", có thể dẫn đến việc đọc tệp tùy ý.
- CVE-2026-29202 (Điểm CVSS: 8.8) - Lỗi kiểm tra đầu vào không đầy đủ của tham số "plugin" trong lệnh gọi "create_user API", có thể dẫn đến thực thi mã Perl tùy ý thay mặt cho người dùng hệ thống của tài khoản đã được xác thực.
- CVE-2026-29203 (Điểm CVSS: 8.8) - Lỗ hổng xử lý symlink không an toàn cho phép người dùng sửa đổi quyền truy cập của một tệp tùy ý bằng lệnh chmod, dẫn đến tấn công từ chối dịch vụ hoặc có khả năng leo thang đặc quyền.
Các phiên bản đã được khắc phục
Các thiếu sót đã được vá trong các phiên bản sau:
- cPanel và WHM:
- 11.136.0.9 và cao hơn
- 11.134.0.25 và cao hơn
- 11.132.0.31 và cao hơn
- 11.130.0.22 và cao hơn
- 11.126.0.58 và cao hơn
- 11.124.0.37 và cao hơn
- 11.118.0.66 và cao hơn
- 11.110.0.116 và cao hơn
- 11.110.0.117 và cao hơn
- 11.102.0.41 và cao hơn
- 11.94.0.30 và cao hơn
- 11.86.0.43 và cao hơn
- WP Squared:
- 11.136.1.10 và cao hơn
cPanel đã phát hành phiên bản 110.0.114 dưới dạng bản cập nhật trực tiếp cho những khách hàng vẫn đang sử dụng CentOS 6 hoặc CloudLinux 6. Người dùng được khuyến nghị cập nhật lên các phiên bản mới nhất để được bảo vệ tối ưu.
Mặc dù chưa có bằng chứng cho thấy các lỗ hổng này đã bị khai thác trong thực tế, nhưng việc công bố diễn ra chỉ vài ngày sau khi một lỗi nghiêm trọng khác trong sản phẩm (CVE-2026-41940) bị các nhóm tấn công vũ khí hóa như một zero-day để lây lan các biến thể Mirai botnet và một dòng ransomware có tên là Sorry.
