Три нови уязвимости в cPanel излизат днес – Какво да знаете преди ъпдейта

Ако сте видели съобщение от cPanel в пощата си тази сутрин, не сте единствени. Компанията обяви три нови CVE (CVE-2026-29201, CVE-2026-29202 и CVE-2026-29203), за които патчовете ще са готови днес в 12:00 ч. EST. И този път подходът им е различен.

Смяна в начина на обявяване

Ето какво е новото: cPanel умишлено не разкрива технически детайли, докато патчът не е на разположение. Няма описание на експлойти или начини на атака. Само "патчът идва, след това – подробности".

Може да ви се стори досадно, ако искате да разберете какво точно поправяте. Но има контекст. Само преди две седмици CVE-2026-41940 – уязвимост с критичност 9.8 за заобикаляне на автентикация – остана без закърпване 64 дни. Около 1.5 милиона cPanel инстанции на интернет бяха без защита и без предупреждение. Атакуващите вече я използваха.

Сега cPanel прилага урок: първо патчът, после информацията. Логично при толкова висок риск.

Какво знаем засега

Трите CVE са регистрирани в National Vulnerability Database (NVD), но детайлите са заключени до излизането. Патчовете ще се разпространят през стандартния автоматичен ъпдейт на cPanel.

Ключовото: не чакайте автоматичното обновяване. cPanel препоръчва ръчно изпълнение на /scripts/upcp веднага щом патчът е готов.

Списък за подготовка преди патча

Отделете 15 минути сега:

1. Проверете автоматичните ъпдейти: Ако са изключени или фиксирани към версия, отворете /etc/cpupdate.conf. Не се хващайте с остаряли настройки.

2. За потребители на CloudLinux 6 – задължително: Ако все още сте на CL6, сменете update tier предварително с тази команда:

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf

Без това ще имате проблеми с компатибилността по време на ъпдейта. Не е добра идея при спешност.

3. Подгответе ръчния ъпдейт: Имайте /scripts/upcp готов за старт в момента на пускане. Разпространете го бързо по всички сървъри.

Баланс между откритост и сигурност

Разбираемо е да искате детайли – помагат за оценка на риска, одобрение на промени и комуникация в екипа. "Закърпваме критична уязвимост в автентикацията" звучи по-смислено от "Правим нещо важно".

Но от друга страна: публикуване на детайли преди патч е като да кажеш на крадците къде патрулира охрана, без да си я сменил. След като предишната голяма уязвимост беше експлоатирана два месеца без публично предупреждение, сегашният подход е разумен. Детайлите ще дойдат – след като сървърите ви са защитени.

Какво става в 12:00 ч. EST

• Патчовете за трите CVE ще са готови за автоматично или ръчно инсталиране
• Детайлите ще се публикуват на support страницата на cPanel
• Ще разберете какво сте поправили и защо е важно
• NVD записите ще се актуализират напълно

Дотогава – подгответе се, не гадайте.

По-широката картина

Ако управлявате много cPanel инстанции, проверете политиките си за ъпдейти. Фиксирани версии и изключени авто-ъпдейти са ОК за тестове и стабилност, но могат да ви забавят при сигурностни инциденти.

Опитайте стъпковит подход: първо малка група сървъри близо до production получават патча, после – останалите. Така виждате дали всичко е наред, без да губите време.

Ако обмисляте преход към контейнеризиран хостинг или API-базирана инфраструктура без cPanel, случаи като този ускоряват решението. NameOcean предлага cloud hosting с AI Vibe Hosting, който автоматично се грижи за ъпдейти, сигурност и управление – без cPanel сложност.

Кратко казано: Ъпдейт днес, разбиране утре. Инфраструктурата ви ще ви е благодарна.

Срещали ли сте проблеми с cPanel уязвимости? Как балансирате бързо закърпване с тестове? Споделете в коментарите или пишете на екипа на NameOcean за съвети по хостинг.