cPanel i WHM łatają trzy nowe podatności. Pilna aktualizacja ogranicza ryzyko RCE, DoS i eskalacji uprawnień - Security Bez Tabu

cPanel i WHM łatają trzy nowe podatności. Pilna aktualizacja ogranicza ryzyko RCE, DoS i eskalacji uprawnień

Cybersecurity news

Wprowadzenie do problemu / definicja

cPanel i WHM to jedne z najczęściej wykorzystywanych platform do administracji środowiskami hostingowymi. Ze względu na szeroki zakres uprawnień oraz centralną rolę w zarządzaniu kontami, usługami i konfiguracją serwerów, każda nowa podatność w tych produktach może istotnie wpłynąć na bezpieczeństwo całej infrastruktury. Najnowszy pakiet poprawek eliminuje trzy luki, które dotyczą odczytu plików, wykonania kodu oraz scenariuszy odmowy usługi i potencjalnej eskalacji uprawnień.

W skrócie

Producent opublikował poprawki dla trzech nowych podatności w cPanel i WHM. Problemy wynikają z niewystarczającej walidacji danych wejściowych oraz niebezpiecznej obsługi dowiązań symbolicznych. Najpoważniejsze błędy uzyskały ocenę CVSS 8.8 i mogą umożliwiać wykonanie dowolnego kodu Perla w kontekście uwierzytelnionego użytkownika systemowego, a także zmianę uprawnień do arbitralnych plików w określonych warunkach.

  • ujawniono trzy nowe podatności wpływające na cPanel i WHM,
  • najwyżej ocenione luki mogą prowadzić do wykonania kodu oraz zmian uprawnień plików,
  • poprawki udostępniono dla wielu wspieranych gałęzi wersji,
  • administratorzy powinni potraktować aktualizację jako pilną.

Kontekst / historia

Publikacja poprawek pojawia się w czasie wzmożonej uwagi wokół bezpieczeństwa środowisk cPanel i WHM. W ostatnim okresie branża śledziła również doniesienia o innych poważnych problemach w tym ekosystemie, co dodatkowo zwiększa presję na szybkie wdrażanie łatek i monitoring nietypowej aktywności. W praktyce nawet podatności bez potwierdzonej aktywnej eksploatacji powinny być traktowane priorytetowo, zwłaszcza gdy dotyczą panelu administracyjnego o tak wysokim poziomie uprzywilejowania.

Znaczenie sprawy wynika także ze skali wdrożeń. cPanel jest szeroko używany przez dostawców hostingu współdzielonego, resellerów oraz administratorów serwerów VPS i dedykowanych. Oznacza to, że pojedyncza luka może przełożyć się na ryzyko dla wielu klientów, domen i usług jednocześnie, szczególnie gdy platforma pełni funkcję centralnego punktu administracyjnego dla poczty, baz danych i aplikacji WWW.

Analiza techniczna

Pierwsza podatność, oznaczona jako CVE-2026-29201, dotyczy niewystarczającej walidacji nazwy pliku funkcji w wywołaniu administracyjnym „feature::LOADFEATUREFILE”. Skutkiem może być arbitralny odczyt plików. Choć ten scenariusz zwykle bywa postrzegany jako mniej krytyczny niż zdalne wykonanie kodu, w praktyce może stanowić ważny etap przygotowawczy do dalszej kompromitacji, umożliwiając pozyskanie danych konfiguracyjnych i informacji o środowisku.

Druga luka, CVE-2026-29202, otrzymała ocenę CVSS 8.8 i dotyczy parametru „plugin” w wywołaniu „create_user API”. Problem wynika z niewystarczającej walidacji danych wejściowych, co może prowadzić do wykonania arbitralnego kodu Perla w imieniu systemowego użytkownika uwierzytelnionego konta. To szczególnie groźny przypadek w środowiskach wielodostępnych, gdzie nadużycie takiego błędu może otworzyć drogę do działań wykraczających poza przewidziany zakres operacji administracyjnych.

Trzecia podatność, CVE-2026-29203, również oceniona na 8.8, wynika z niebezpiecznej obsługi dowiązań symbolicznych. Zgodnie z opisem umożliwia użytkownikowi zmianę uprawnień dostępu do arbitralnego pliku przy użyciu mechanizmu chmod. Taki scenariusz może prowadzić do odmowy usługi, a w sprzyjających warunkach także do eskalacji uprawnień. Ryzyko jest wysokie, ponieważ nadużycia związane z symlinkami często pozwalają obchodzić oczekiwaną separację pomiędzy zasobami użytkowników i procesami pomocniczymi.

Producent wskazał, że poprawki są dostępne w wielu liniach wersji, obejmujących między innymi wydania od 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.116, 11.102.0.41, 11.94.0.30 oraz 11.86.0.43 wzwyż. Wskazano również aktualizację komponentu WP Squared oraz osobną ścieżkę aktualizacji dla starszych platform, takich jak CentOS 6 i CloudLinux 6.

Konsekwencje / ryzyko

Najważniejsze zagrożenie wynika z połączenia kilku klas błędów w jednym produkcie administracyjnym o wysokim poziomie uprzywilejowania. Arbitralny odczyt plików może wspierać rekonesans i zbieranie informacji o konfiguracji. Wykonanie kodu w kontekście użytkownika systemowego otwiera drogę do trwałej obecności, manipulacji kontami lub uruchamiania dodatkowych komponentów. Z kolei możliwość zmiany uprawnień plików przez niebezpieczną obsługę symlinków może skutkować zakłóceniem działania usług, utratą dostępności aplikacji lub przejściem do scenariuszy eskalacji uprawnień.

Dla operatorów hostingu współdzielonego konsekwencje mogą być szczególnie dotkliwe. Naruszenie separacji pomiędzy kontami klientów może oznaczać incydenty obejmujące wielu tenantów, utratę integralności danych, przestoje usług WWW i poczty oraz wzrost kosztów reagowania. W środowiskach produkcyjnych, gdzie cPanel stanowi centralny panel administracyjny, nawet lokalnie wykorzystywana luka może szybko uzyskać szerszy wpływ na całą infrastrukturę.

Brak potwierdzonej aktywnej eksploatacji nie powinien obniżać priorytetu działań. Publikacja numerów CVE i szczegółów technicznych zwykle przyspiesza odwrotną analizę łatek, co może skrócić czas do pojawienia się kodu proof-of-concept lub prób masowego skanowania podatnych instancji.

Rekomendacje

Priorytetem powinno być natychmiastowe ustalenie wersji cPanel i WHM we wszystkich zarządzanych środowiskach oraz aktualizacja do wydań zawierających poprawki. W organizacjach z rozproszoną infrastrukturą hostingową warto jednocześnie zweryfikować serwery zapasowe, środowiska testowe i starsze instancje pozostające poza głównym procesem utrzymaniowym.

  • przeprowadzić szybki audyt wersji i potwierdzić poziom poprawek,
  • zweryfikować logi API oraz działania administracyjne związane z tworzeniem użytkowników i obsługą pluginów,
  • przeanalizować zdarzenia wskazujące na nietypowy odczyt plików, anomalie chmod i błędy uprawnień,
  • sprawdzić konfigurację separacji kont, uprawnień systemowych i dostępu do krytycznych plików,
  • ograniczyć ekspozycję interfejsów administracyjnych do zaufanych adresów IP, VPN lub warstwy bastionowej,
  • wdrożyć dodatkowy monitoring działań wykonywanych w kontekście użytkowników systemowych powiązanych z kontami cPanel.

Warto również przygotować procedurę huntingu opartą na wskaźnikach behawioralnych, a nie wyłącznie na sygnaturach. W przypadku takich podatności szczególne znaczenie mają oznaki nietypowych operacji na plikach, zmian uprawnień, tworzenia nowych kont, uruchamiania niestandardowych modułów oraz pojawiania się procesów potomnych, które nie odpowiadają standardowemu profilowi pracy panelu administracyjnego.

Podsumowanie

Nowe poprawki dla cPanel i WHM usuwają trzy istotne podatności obejmujące arbitralny odczyt plików, wykonanie kodu oraz ryzyko odmowy usługi i możliwej eskalacji uprawnień. Z uwagi na rolę tych produktów w środowiskach hostingowych poziom ryzyka należy ocenić jako wysoki, szczególnie w infrastrukturach obsługujących wielu klientów. Nawet bez publicznie potwierdzonej aktywnej eksploatacji organizacje powinny potraktować wdrożenie aktualizacji jako działanie pilne i uzupełnić je o analizę logów, kontrolę uprawnień oraz wzmocniony monitoring aktywności administracyjnej.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html
  2. cPanel Security Team Advisories — https://support.cpanel.net/