Support 24/7
OSS
 Kontrolpanel
Kontosaldo:    
cPanels ugentlige sikkerhedssprint: Fem CVEs lukket – men en er allerede knekt

cPanels ugentlige sikkerhedssprint: Fem CVEs lukket – men en er allerede knekt

Maj 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel's ugentlige sikkerhedsrykke: Fem CVEs lukket – men en holder ikke

Hvis du driver cPanel-miljøer, er sikkerhedsopdateringerne blevet dagligdags. Det er ikke roligt – mere som en konstant alarm.

Den 13. maj kom patches til fem nye CVEs i cPanel og WHM. Men kort efter afslørede sikkerhedsforsker Shubham Shah, at mindst én patch ikke virker. Lad os kigge på detaljerne og hvad det betyder for din hosting.

De fem sårbarheder: Dit værste mareridt på en liste

Udgaven fra 13. maj rammer fem højrisiko-sårbarheder med CVSS-score op til 8,6. Her er overblikket:

CVE-2026-29205 (Den mangelfulde patch)

Her kan en anonym angriber læse vilkårlige filer via cpdavd-endpoints på grund af dårlig sti-filtrering og rettigheder. CVSS: 8,6. Problemet? Patchet lukker ikke helt, så du er stadig udsat efter opdatering.

CVE-2026-29206 (SQL-injektion i sqloptimizer)

Root-niveau SQL-injektion i sqloptimizer-værktøjet, når slow query logging kører. Kræver brugerindgreb, men potentielt ødelæggende. CVSS: 8,1.

CVE-2026-32991 (Rettighedsæskalering i Team Manager)

I multi-tenant-setup med Team Manager kan medlemmer løfte sig selv til ejer-status. CVSS: 7,1. Resellere af cPanel-konti skal tage den alvorligt.

CVE-2026-32992 (SSL slået fra i DNS Cluster)

SSL-verifikation er deaktiveret i DNS Cluster. Resultat: Man-in-the-middle-angreb på dit netværk kan stjæle legitimationsoplysninger. CVSS: 8,2.

CVE-2026-32993 (CRLF-injektion)

Uautentificeret CRLF-injektion i /unprotected/nova_error tillader header-manipulation. Samme type som i .sorry-ransomware-angrebet i april. CVSS: 8,3.

Det ægte issue: Hastværk i patch-processen

cPanel-folket skrev på Reddit, at de nu kører ugentlige sikkerhedsreleases. Tidslinjen passer: 28. april, 8. maj, 13. maj – og næste kommer snart.

Det tyder på, at WebPros er i krisehåndtering. De spotter sårbarheder og patcher i rekordfart. Bedre end intet, men pres giver fejl – som med CVE-2026-29205.

Hvad du skal gøre – med det samme

  1. Stol ikke blindt på patches. Installer 13. mays opdateringer til din cPanel/WHM-version, men hold øje med CVE-2026-29205.

  2. Fokus på CVE-2026-29205. Uautentificeret fil-læsning er klar til udnyttelse. Tjek /dav-endpoints for mistænkelig trafik.

  3. Opdater alt. Gælder også WP Squared og hele WebPros-familien.

  4. Tjek din version. Patches dækker fra 11.86 til 11.136. CloudLinux 6-brugere: Skift til cl6110-tier først.

  5. Vent på ny patch. Den rigtige fix til CVE-2026-29205 er på vej – prioriter den højt.

Det store billede

Det her er ikke en engangs-sag. cPanel er under tryk, finder fejl løbende og patcher åbent. Det er ansvarsfuldt, men krævende for admins.

.sorry-ransomware i april viste kaos uden patches. Majs bølge af CVEs viser udfordringerne ved massediscovery. cPanel er ærlige om tidsplanen – det er positivt.

Hold din NameOcean-infrastruktur opdateret, overvåg tæt og ignorer ikke "fikse" CVEs.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE ZH-HANS EN