Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
cPanel i WHM to jedne z najczęściej używanych platform do zarządzania hostingiem współdzielonym oraz administracją serwerami Linux. Z tego powodu każda nowa podatność w tym ekosystemie ma istotne znaczenie operacyjne, ponieważ może wpływać jednocześnie na wiele kont, domen, usług pocztowych i aplikacji internetowych.
Najnowszy pakiet poprawek usuwa trzy luki bezpieczeństwa, które mogą prowadzić do nieautoryzowanego odczytu plików, wykonania kodu w kontekście użytkownika systemowego oraz nadużyć związanych z obsługą dowiązań symbolicznych. W określonych scenariuszach skutkiem może być również zakłócenie działania usług i lokalna eskalacja uprawnień.
W skrócie
Producent załatał trzy podatności oznaczone jako CVE-2026-29201, CVE-2026-29202 oraz CVE-2026-29203. Problemy dotyczą odpowiednio niewystarczającej walidacji podczas ładowania plików funkcji, błędnej obsługi parametru w API tworzenia użytkownika oraz niebezpiecznego przetwarzania symlinków.
Dwie z luk otrzymały wysoką ocenę CVSS 8.8, co wskazuje na istotne ryzyko dla środowisk wielodostępnych. Chociaż nie ma publicznego potwierdzenia aktywnego wykorzystania tych konkretnych błędów, charakter platformy oraz wcześniejsze incydenty w ekosystemie cPanel sprawiają, że aktualizację należy traktować priorytetowo.
Kontekst / historia
Systemy cPanel i WHM od lat pozostają atrakcyjnym celem dla cyberprzestępców, ponieważ pełnią rolę centralnego punktu zarządzania kontami hostingowymi, konfiguracją usług i operacjami administracyjnymi. Kompromitacja takiego panelu może otworzyć drogę do wpływu na większą część infrastruktury niż pojedyncza aplikacja czy witryna.
W tym przypadku ujawniono trzy odrębne klasy błędów. Pierwsza umożliwia odczyt plików spoza oczekiwanego zakresu, druga pozwala na wykonanie arbitralnego kodu Perl po stronie uwierzytelnionego użytkownika, a trzecia dotyczy niebezpiecznej obsługi dowiązań symbolicznych, co może prowadzić do nieautoryzowanej zmiany uprawnień do plików.
Znaczenie tej publikacji zwiększa szerszy kontekst zagrożeń wymierzonych w panele hostingowe. Nawet jeśli opisywane luki nie są jeszcze aktywnie eksploatowane, potencjał ich wykorzystania w środowiskach produkcyjnych jest na tyle wysoki, że opóźnienie patchowania może szybko przełożyć się na realny incydent.
Analiza techniczna
CVE-2026-29201 dotyczy niewystarczającej walidacji nazwy pliku funkcji w administracyjnym wywołaniu „feature::LOADFEATUREFILE”. Tego typu błąd zwykle oznacza możliwość manipulacji parametrem wejściowym w sposób pozwalający na odczyt plików lokalnych spoza przewidzianego katalogu lub zakresu dostępu.
W praktyce może to prowadzić do ujawnienia danych konfiguracyjnych, informacji o środowisku lub innych zasobów pomocnych w dalszych etapach ataku. Nawet pozornie ograniczony odczyt plików bywa groźny, jeśli atakujący uzyskuje dzięki niemu dane do dalszego ruchu bocznego lub eskalacji.
CVE-2026-29202 obejmuje parametr „plugin” w wywołaniu „create_user API”. To najpoważniejsza z opisanych luk, ponieważ błędna walidacja może umożliwić wykonanie arbitralnego kodu Perl w imieniu uwierzytelnionego użytkownika systemowego powiązanego z kontem.
Dla środowisk hostingu współdzielonego oznacza to ryzyko przejścia od dostępu do panelu do uruchamiania kodu bezpośrednio na serwerze. Potencjalne skutki obejmują modyfikację plików witryn, osadzanie web shelli, kradzież danych aplikacyjnych oraz dalszą penetrację innych usług działających na tym samym hoście.
CVE-2026-29203 wynika z niebezpiecznej obsługi dowiązań symbolicznych. Jeśli operacja zmiany uprawnień zostanie wykonana na obiekcie wskazanym przez odpowiednio przygotowany symlink, możliwa staje się zmiana praw dostępu do pliku, który normalnie nie powinien podlegać modyfikacji przez danego użytkownika.
Bezpośrednim skutkiem może być odmowa usługi, ale w sprzyjających warunkach także utworzenie ścieżki do dalszej eskalacji uprawnień. Jest to szczególnie istotne w systemach uniksowych, gdzie separacja użytkowników i poprawna kontrola dostępu stanowią podstawę bezpieczeństwa środowisk współdzielonych.
Poprawki zostały udostępnione w wielu gałęziach wersji cPanel i WHM, w tym między innymi 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.116, 11.102.0.41, 11.94.0.30 i 11.86.0.43 lub nowszych. Producent opublikował także odpowiednią aktualizację dla WP Squared oraz wskazał ścieżkę aktualizacji dla części starszych środowisk opartych o CentOS 6 i CloudLinux 6.
Konsekwencje / ryzyko
Największe ryzyko dotyczy operatorów hostingu, dostawców usług zarządzanych i organizacji utrzymujących wiele kont klientów lub wiele aplikacji na jednym serwerze. W takich środowiskach nawet częściowo ograniczona podatność może wywołać skutki wykraczające poza pojedynczy tenant.
- odczyt poufnych plików lokalnych i wykorzystanie pozyskanych danych do dalszej kompromitacji,
- wykonanie kodu po przejęciu lub nadużyciu legalnego konta w panelu,
- osadzenie złośliwych komponentów w przestrzeni użytkownika,
- zmianę uprawnień do plików poprzez nadużycie symlinków,
- zakłócenie działania usług współdzielących ten sam host,
- zwiększenie prawdopodobieństwa lokalnej eskalacji uprawnień w bardziej złożonych konfiguracjach.
W praktyce oznacza to, że podatności należy rozpatrywać nie tylko w kontekście pojedynczego panelu administracyjnego, ale również jako ryzyko dla całego łańcucha usług zależnych, takich jak strony WWW, poczta, bazy danych, kopie zapasowe, zadania cron czy mechanizmy automatyzacji.
Rekomendacje
Priorytetem powinno być jak najszybsze zaktualizowanie cPanel i WHM do wersji oznaczonych jako naprawione. W środowiskach o wysokiej krytyczności operacyjnej aktualizacja powinna zostać połączona z dodatkowymi działaniami weryfikacyjnymi i kontrolnymi.
- natychmiast zweryfikować wersje cPanel i WHM na wszystkich serwerach produkcyjnych, testowych i zapasowych,
- wdrożyć poprawki w najbliższym oknie serwisowym lub w trybie pilnym, jeśli ekspozycja jest wysoka,
- przeanalizować logi API i operacji administracyjnych pod kątem nietypowego użycia funkcji związanych z pluginami, tworzeniem użytkowników i ładowaniem plików funkcji,
- sprawdzić system pod kątem podejrzanych plików Perl, web shelli, nieautoryzowanych zmian uprawnień oraz anomalii związanych z symlinkami,
- ograniczyć dostęp do paneli administracyjnych przez MFA, VPN, listy kontroli dostępu i segmentację sieci,
- rozważyć rotację poświadczeń administratorów oraz kont uprzywilejowanych, jeśli istnieje podejrzenie wcześniejszego nadużycia,
- wdrożyć monitoring integralności plików i alertowanie dla zmian uprawnień w wrażliwych lokalizacjach,
- potwierdzić możliwość szybkiego odtworzenia serwera i danych klientów z kopii zapasowych.
Dodatkowo warto potraktować tę publikację jako impuls do przeglądu modelu izolacji tenantów. Im więcej krytycznych usług współdzieli ten sam host i panel administracyjny, tym większe ryzyko, że pojedyncza luka stanie się punktem wejścia do szerszej kompromitacji.
Podsumowanie
Nowe poprawki dla cPanel i WHM usuwają trzy istotne luki obejmujące odczyt plików, wykonanie kodu oraz niebezpieczne operacje na symlinkach. Dwie z nich mają wysoki priorytet ze względu na możliwość przejścia od uwierzytelnionego dostępu do realnego wpływu na system operacyjny i integralność plików.
Dla operatorów hostingu i zespołów administracyjnych kluczowe znaczenie ma szybkie wdrożenie aktualizacji, przegląd logów oraz ocena, czy infrastruktura nie wykazuje oznak wcześniejszej kompromitacji. To klasyczny przykład sytuacji, w której opóźnione patchowanie może skutkować incydentem obejmującym wiele usług jednocześnie.
Źródła
- https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html
- https://support.cpanel.net/hc/en-us/articles/37767947707159
- https://support.cpanel.net/hc/en-us/articles/37767953114903
- https://support.cpanel.net/hc/en-us/articles/37767958652951