Компанія cPanel випустила оновлення безпеки для cPanel і Web Host Manager (WHM), які усувають три вразливості: довільне читання файлів, виконання довільного коду на Perl і небезпечну обробку символічних посилань. Дві з трьох проблем отримали оцінку CVSS 8.8, що відповідає високому рівню критичності. Вразливості зачіпають широкий спектр підтримуваних гілок продукту, а також платформу WP Squared. За наявною інформацією, активної експлуатації в дикій природі на момент публікації не зафіксовано, однак адміністраторам хостингових панелей рекомендується негайно застосувати виправлення.

Технічні деталі вразливостей

Усі три вразливості пов’язані з недостатньою валідацією вхідних даних або небезпечною обробкою файлових операцій на боці сервера.

• CVE-2026-29201 (CVSS: 4.3) — недостатня валідація імені файлу функціональності у виклику adminbin feature::LOADFEATUREFILE. Як повідомляється, вразливість дає змогу читати довільні файли на сервері. Попри відносно невисокий бал CVSS, несанкціонований доступ до файлової системи може використовуватися для розвідки перед більш серйозною атакою.
• CVE-2026-29202 (CVSS: 8.8) — недостатня валідація параметра plugin у виклику API create_user. За даними вендора, вразливість дозволяє виконувати довільний Perl-код від імені системного користувача вже автентифікованого акаунта. Це означає, що зловмисник із легітимним доступом до панелі може вийти за межі своїх повноважень і виконати команди на рівні операційної системи.
• CVE-2026-29203 (CVSS: 8.8) — небезпечна обробка символічних посилань, яка дозволяє користувачеві змінювати права доступу до довільного файлу через chmod. Результатом може стати відмова в обслуговуванні або підвищення привілеїв. Атаки через символічні посилання особливо небезпечні в багатокористувацьких хостингових середовищах, де ізоляція між акаунтами є критично важливою вимогою безпеки.

Важливо розрізняти ступінь серйозності: CVE-2026-29201 становить помірний ризик, тоді як CVE-2026-29202 і CVE-2026-29203 з оцінкою 8.8 потребують пріоритетної уваги. Жодна з трьох вразливостей не включена до каталогу CISA KEV, а підтверджених випадків експлуатації, за наявними даними, не зафіксовано.

Затронуті версії та виправлення

Патчі поширюються на кілька підтримуваних гілок cPanel і WHM. Виправленими вважаються такі версії та вище:

• 11.136.0.9
• 11.134.0.25
• 11.132.0.31
• 11.130.0.22
• 11.126.0.58
• 11.124.0.37
• 11.118.0.66
• 11.110.0.116 / 11.110.0.117
• 11.102.0.41
• 11.94.0.30
• 11.86.0.43

Для платформи WP Squared виправлення включено до версії 11.136.1.10 і вище.

Оцінка впливу

cPanel і WHM використовуються тисячами хостинг-провайдерів і керованих сервісів у всьому світі. Багатокористувацька природа цих платформ робить вразливості типу «підвищення привілеїв» і «виконання коду» особливо небезпечними: компрометація одного акаунта може призвести до горизонтального переміщення між клієнтськими середовищами на одному сервері.

CVE-2026-29202 вимагає наявності автентифікованого доступу, що зменшує поверхню атаки для зовнішніх зловмисників, але не усуває ризик: у реальних сценаріях атакувальники нерідко отримують облікові дані через фішинг, витоки або підбір паролів, після чого використовують подібні вразливості для ескалації. CVE-2026-29203 через маніпуляцію символічними посиланнями і chmod потенційно дає змогу порушити роботу всього сервера, що критично для провайдерів із гарантіями доступності.

Практичні рекомендації

1. Оновіть cPanel і WHM до актуальної версії для вашої гілки (див. список вище). Автоматичні оновлення в cPanel можна перевірити через WHM → Update Preferences.
2. Оновіть WP Squared до версії 11.136.1.10 або вище, якщо використовуєте цю платформу.
3. Перевірте версію вручну командою cat /usr/local/cpanel/version на сервері — переконайтеся, що встановлена версія не нижча за виправлену для вашої гілки.
4. Обмежте доступ до WHM за IP-адресою через брандмауер для зменшення поверхні атаки, особливо в період до застосування патча.
5. Проведіть аудит активних сесій і API-ключів — CVE-2026-29202 експлуатується від імені автентифікованого користувача, тому скомпрометовані облікові дані становлять прямий вектор атаки.

Адміністраторам, які використовують будь-яку з перелічених гілок cPanel і WHM, слід застосувати оновлення в пріоритетному порядку — особливо з огляду на оцінку CVSS 8.8 для CVE-2026-29202 і CVE-2026-29203. Відкладання патча в багатокористувацькому хостинговому середовищі створює реальний ризик компрометації клієнтських даних і порушення ізоляції акаунтів, навіть за відсутності підтверджених атак на цей момент.