Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
cPanel týdenně záplata: Pět CVEs opraveno, jedno už prolomeno

cPanel týdenně záplata: Pět CVEs opraveno, jedno už prolomeno

Kvě 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Týdenní bezpečnostní sprint cPanelu: Pět CVEs opraveno, ale jedno selhalo hned

Když spravujete prostředí s cPanelem, aktualizace bezpečnosti se valí jako z konveje. A tentokrát to není žádná pohádka. Dne 13. května vyšly záplaty pro pět nových CVEs různých typů. Špatná zpráva? Bezpečnostní výzkumník Shubham Shah odhalil, že alespoň jedna z nich nefunguje správně. Podíváme se, co se stalo, a jak to ovlivní váš hosting.

Pět hrozeb, které vám znepokojí spánek

Aktualizace z 13. května řeší pět vážných chyb, všechny s vysokou závažností a CVSS skóre až 8,6. Tady je přehled:

CVE-2026-29205 (Záplata, která selhala)

Hlavní problém. Neoverifikovaný útočník si stáhne libovolné soubory přes endpointy cpdavd kvůli špatnému filtrování cest a práv. CVSS: 8,6. Záplata to ale úplně nevyřešila – riziko zůstává i po updatu.

CVE-2026-29206 (SQL injection v sqloptimizer)

Útok na root úrovni skrz nástroj sqloptimizer, když běží logování pomalých dotazů. Potřebuje interakci uživatele, ale dopad je obrovský. CVSS: 8,1.

CVE-2026-32991 (Zvýšení práv v Team Manageru)

V multi-tenant setupu s Team Managerem se členové týmu mohou povýšit na vlastníka. CVSS: 7,1. Pokud prodáváte cPanel účty, toto vás zasáhne přímo.

CVE-2026-32992 (Vypnuté SSL v DNS Clusteru)

V DNS Clusteru chybí ověření SSL. Výsledek? Útočník v síti může zachytit přihlašovací údaje. CVSS: 8,2. Klasický man-in-the-middle.

CVE-2026-32993 (CRLF injection)

Neoverifikovaný útok CRLF na endpointu /unprotected/nova_error umožňuje manipulaci hlaviček. Stejný typ jako u ransomware kampaně .sorry v dubnu. CVSS: 8,3.

Problém v rychlosti: Týdenní vydávání záplat

cPanel na Redditu oznámil přechod na týdenní bezpečnostní releasy. Časová osa to potvrzuje: 28. dubna, 8. května, 13. května – další brzy. WebPros je v nouzovém režimu. Hledají díry a zalepují je co nejrychleji. To je lepší než nic, ale pod tlakem se stávají chyby, jako u CVE-2026-29205.

Co dělat hned teď

  1. Nečekejte, že záplaty stačí. Nainstalujte verzi z 13. května pro vaši cPanel/WHM linku, ale CVE-2026-29205 sledujte zvlášť.

  2. Zaměřte se na CVE-2026-29205. Čtení souborů bez autentizace je snadno zneužitelné. Kontrolujte přístupy k /dav endpointům.

  3. Aktualizujte všechny produkty. Platí i pro WP Squared a celý WebPros ekosystém.

  4. Zkontrolujte verzi. Záplaty pokrývají od 11.86 po 11.136. Na CloudLinux 6 přejděte nejdřív na cl6110 tier.

  5. Čekejte opravu. Problém s CVE-2026-29205 brzy vyřeší – aplikujte ihned.

Širší pohled

Tohle není jednorázovka. Vidíme platformu pod tlakem, která systematicky odhaluje slabiny a opravuje je veřejně. Zodpovědné, ale náročné pro správce. Dubnová .sorry kampaň ukázala rizika bez záplat, teď vidíme dávky zjištění. cPanel je otevřený, to je plus.

Držte NameOcean infrastrukturu v aktuálním stavu, sledujte servery a nepodceňujte žádné CVE – ani "opravené".

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN