Денят, когато сървърът ти поиска две спешни ъпдейта

Представи си: управляваш сървър с cPanel. Сутринта се събуждаш и виждаш, че има две сериозни заплахи за сигурността. За едната има готов patch. За другата – нищо, но експлойтът вече е публичен. Това е 8 май – урок, че сигурността не чака твоя график.

cPanel и трите уязвимости наведнъж

cPanel подходи умно този път. Не като с April 28 authentication bypass (CVE-2026-41940), където експлойтът вече работеше. Тук първо обявили patches, без детайли. После пуснали всичко наведнъж – fixes и информацията за уязвимостите.

Има три CVE: CVE-2026-29201, CVE-2026-29202 и CVE-2026-29203. Ето защо са проблемни:

CVE-2026-29201 (CVSS 4.3 - Средна сериозност)
Грешка в проверката на входни данни при LOADFEATUREFILE в adminbin. Атакуващ с валиден акаунт на сървъра подава релативен път и чете произволни файлове. Трябва authentication, но ако е вътре, грабва конфиги, бекапи или други данни.

Общата картина
Всички три изискват authenticated session. Атакуващът трябва да е вече в системата. Изглежда контролируемо, но реалността е друга – ако сървърът ти е бил пробит по време на 64-дневния експлойт от April 28, врагът може да е с ключовете си.

DirtyFrag: Кernel проблем от 2017 г.

Докато cPanel пускаше patches, Linux kernel общността се бореше с DirtyFrag. Разкрита на 7 май, това е local privilege escalation, криещ се от 2017 г. Експлойтът излезе публично без patch.

Всеки unprivileged user на сървъра може да стане root. Не само админ или service account – всеки.

Добри новини: Големите дистрибуции пуснаха kernel patches на 8 май. Но ъпдейтът иска reboot и downtime. На production сървър с клиенти това не е лесно.

Какво да направиш веднага

Приоритет 1: Провери cPanel патчовете

CVE-2026-41940 се експлоатира от седмици. Ако не си патчил – действай сега. Но patching затваря само входната врата. Ако са влезли преди 64 дни, може да са с backdoor. Направи:

• Преглед на access logs за подозрително.
• Проверка на критични файлове за промени.
• Пълен security audit, ако не си сигурен.

Приоритет 2: Планирай kernel ъпдейт

DirtyFrag е сериозен, но иска local access. Рискът е по-нисък от remote, но критичен. Направи го в maintenance window. Downtime е цена, която си заслужава.

Приоритет 3: Тествай преди deploy

Не натискай update и забравяй. Тествай в staging. Видяхме колко security patch разрушава нещо друго. Един час тест спестява часове repair.

Философията на разкриването

cPanel този път стори правилно – обяви предварително без детайли, после всичко наведнъж. Admins имат време да се подготвят, без да дават roadmap на атакуващи. За разлика от CVE-2026-41940, където нямаше предупредително. Timing на disclosure е ключово.

Защо това важи отвъд 8 май

Двете уязвимости показват: сигурността е на слоеве. Патч на app не стига. Kernel ъпдейт също не. Всичко иска внимание.

DirtyFrag, скрит години, напомня: няма "патчил и готово". Системата ти е от хиляди компоненти с свои цикли.

Как да улесниш patching

Ако хостваш с NameOcean или сам управляваш cPanel, ето съвети:

• Автоматизирай. Kernel ъпдейти могат да са auto, ако app понася reboot.
• Следи CVEs. Инструменти сигнализират за нови в твоя stack.
• Тествай в staging. Винаги.
• Води записки. Кога и какво си патчил – спасява при инцидент.

8 май не е изключение – това е новата норма. Множество CVEs, различни нива, timelines. Оцеляваш, ако patching е процес, не ежемесечна работа.

Бъди нащрек.