Компания cPanel выпустила обновления безопасности для cPanel и Web Host Manager (WHM), устраняющие три уязвимости: произвольное чтение файлов, выполнение произвольного кода на Perl и небезопасную обработку символических ссылок. Две из трёх проблем получили оценку CVSS 8.8, что соответствует высокому уровню критичности. Уязвимости затрагивают широкий спектр поддерживаемых веток продукта, а также платформу WP Squared. По имеющимся данным, активной эксплуатации в дикой природе на момент публикации не зафиксировано, однако администраторам хостинговых панелей рекомендуется незамедлительно применить исправления.

Технические детали уязвимостей

Все три уязвимости связаны с недостаточной валидацией входных данных или небезопасной обработкой файловых операций на стороне сервера.

• CVE-2026-29201 (CVSS: 4.3) — недостаточная валидация имени файла функциональности в вызове adminbin feature::LOADFEATUREFILE. Как сообщается, уязвимость позволяет читать произвольные файлы на сервере. Несмотря на относительно невысокий балл CVSS, несанкционированный доступ к файловой системе может использоваться для разведки перед более серьёзной атакой.
• CVE-2026-29202 (CVSS: 8.8) — недостаточная валидация параметра plugin в вызове API create_user. По данным вендора, уязвимость позволяет выполнять произвольный Perl-код от имени системного пользователя уже аутентифицированного аккаунта. Это означает, что злоумышленник с легитимным доступом к панели может выйти за пределы своих полномочий и выполнить команды на уровне операционной системы.
• CVE-2026-29203 (CVSS: 8.8) — небезопасная обработка символических ссылок, позволяющая пользователю изменять права доступа к произвольному файлу через chmod. Результатом может стать отказ в обслуживании или повышение привилегий. Атаки через символические ссылки особенно опасны в многопользовательских хостинговых средах, где изоляция между аккаунтами является критически важным требованием безопасности.

Важно разграничивать степень серьёзности: CVE-2026-29201 представляет умеренный риск, тогда как CVE-2026-29202 и CVE-2026-29203 с оценкой 8.8 требуют приоритетного внимания. Ни одна из трёх уязвимостей не включена в каталог CISA KEV, а подтверждённых случаев эксплуатации, по имеющимся данным, не зафиксировано.

Затронутые версии и исправления

Патчи распространяются на несколько поддерживаемых веток cPanel и WHM. Исправленными считаются следующие версии и выше:

• 11.136.0.9
• 11.134.0.25
• 11.132.0.31
• 11.130.0.22
• 11.126.0.58
• 11.124.0.37
• 11.118.0.66
• 11.110.0.116 / 11.110.0.117
• 11.102.0.41
• 11.94.0.30
• 11.86.0.43

Для платформы WP Squared исправление включено в версию 11.136.1.10 и выше.

Оценка воздействия

cPanel и WHM используются тысячами хостинг-провайдеров и управляемых сервисов по всему миру. Многопользовательская природа этих платформ делает уязвимости типа «повышение привилегий» и «выполнение кода» особенно опасными: компрометация одного аккаунта может привести к горизонтальному перемещению между клиентскими окружениями на одном сервере.

CVE-2026-29202 требует наличия аутентифицированного доступа, что снижает поверхность атаки для внешних злоумышленников, но не устраняет риск: в реальных сценариях атакующие нередко получают учётные данные через фишинг, утечки или подбор паролей, после чего используют подобные уязвимости для эскалации. CVE-2026-29203 через манипуляцию символическими ссылками и chmod потенциально позволяет нарушить работу всего сервера, что критично для провайдеров с гарантиями доступности.

Практические рекомендации

1. Обновите cPanel и WHM до актуальной версии для вашей ветки (см. список выше). Автоматические обновления в cPanel можно проверить через WHM → Update Preferences.
2. Обновите WP Squared до версии 11.136.1.10 или выше, если используете эту платформу.
3. Проверьте версию вручную командой cat /usr/local/cpanel/version на сервере — убедитесь, что установленная версия не ниже исправленной для вашей ветки.
4. Ограничьте доступ к WHM по IP-адресу через брандмауэр для снижения поверхности атаки, особенно в период до применения патча.
5. Проведите аудит активных сессий и API-ключей — CVE-2026-29202 эксплуатируется от имени аутентифицированного пользователя, поэтому скомпрометированные учётные данные представляют прямой вектор атаки.

Администраторам, использующим любую из перечисленных веток cPanel и WHM, следует применить обновления в приоритетном порядке — особенно с учётом оценки CVSS 8.8 для CVE-2026-29202 и CVE-2026-29203. Откладывание патча в многопользовательской хостинговой среде создаёт реальный риск компрометации клиентских данных и нарушения изоляции аккаунтов даже при отсутствии подтверждённых атак на текущий момент.