24/7 поддръжка
ЧЗВ
 Контролен панел
Салдо на сметка:    
cPanel седмично обновление: Поправени 5 CVEs, но едно вече счупено

cPanel седмично обновление: Поправени 5 CVEs, но едно вече счупено

Май 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Седмичният security спринт на cPanel: Пет CVEs поправени, но едно вече се е счупило

Ако управляваш cPanel среда, сигурно си забелязал: security ъпдейтите валят като из ведро. Не е приятно – по-скоро като постоянен аларма.

На 13 май cPanel и WHM пуснаха патчове за пет нови CVEs от различни класове уязвимости. Но ето къде става интересно (и тревожно): за часове security изследователят Shubham Shah обяви публично, че поне един патч не решава проблема. Виж какво се случи и какво значи това за твоя hosting.

Петте уязвимости: Кошмарите ти на парад

Релизът от 13 май покрива пет различни типа проблеми, всички с High сериозност и CVSS до 8.6. Ето ги накратко:

CVE-2026-29205 (Непълната поправка)

Това е звездата на шоуто. Неаутентифициран атакуващ чете произволни файлове през cpdavd attachment endpoints заради слабо филтриране на пътища и права. CVSS: 8.6. Проблемът? Патчът не го оправя напълно – системите ти остават отворени и след ъпдейт.

CVE-2026-29206 (SQL Injection в sqloptimizer)

Root SQL injection в sqloptimizer, когато е активен slow query лог. Иска user interaction, но щетите са огромни. CVSS: 8.1.

CVE-2026-32991 (Privilege Escalation в Team Manager)

В многонаемни среди с Team Manager членове се издигат до owner ниво. CVSS: 7.1. Ако реселърш cPanel акаунти, това те боли директно.

CVE-2026-32992 (Изключен SSL в DNS Cluster)

Някой е изключил SSL верификацията в DNS Cluster. Резултат: man-in-the-middle на вътрешната мрежа открадва credentials. CVSS: 8.2. Класика, която държи security екипите будни.

CVE-2026-32993 (CRLF Injection)

Неаутентифициран CRLF в /unprotected/nova_error позволява манипулация на headers. Същият тип, който захрани .sorry ransomware кампанията през април. CVSS: 8.3.

Истинският проблем: Патчове на бързи обороти

cPanel екипът пише в Reddit, че са преминали на "седмични security релизи", докато преглеждат системите. Графикът потвърждава: 28 април, 8 май, 13 май – следващият е на път.

Този темпо казва ясно: WebPros е в режим триажа. Намерили са дупки и ги лепят колкото могат по-бързо. По-добре от нищо, но под натиск патчовете излизат с грешка. CVE-2026-29205 е жив пример – скоростта струва точност.

Какво да направиш още сега

  1. Не вярвай на патчовете слепо. Вземи ъпдейтите от 13 май за твоята cPanel/WHM версия, но CVE-2026-29205 иска екстра внимание и истинска поправка.

  2. Фокусирай се върху CVE-2026-29205. Неаутентифицирано четене на файлове е живо и работи. Следи cPanel инстансите за странни достъпи, особено към /dav endpoints.

  3. Ъпдейтни всичко. WP Squared (WordPress платформата на cPanel) също е покрита. Патчовете важат за цялата WebPros екосистема.

  4. Провери версията си. Поправките са от 11.86 до 11.136. На CloudLinux 6? Премини на cl6110 tier първо.

  5. Чакай следващия патч. Истинското решение за CVE-2026-29205 идва скоро – направи го приоритет номер едно.

По-широката картина

Не е единичен случай. Гледаме платформа под натиск, която систематично намира проблеми и ги оправя под светлината на прожекторите. Отговорно е, но админите са изтощени от темпото.

Априлската .sorry ransomware показа какво става без патчове. Майският каскад – какво е, когато дупките излизат накуп. Нищо идеално, но cPanel е честен за графика си.

Държи NameOcean инфраструктурата си актуална, следи системите и не пренебрегвай CVEs – дори "оправените".

Read in other languages:

RU EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN