Υποστήριξη 24/7
Συχνές Ερωτήσεις
 Πίνακας Ελέγχου
Υπόλοιπο Λογαριασμού:    
cPanel: Εβδομαδιαία ενημέρωση ασφαλείας με 5 CVEs, αλλά ένας ήδη σπασμένος

cPanel: Εβδομαδιαία ενημέρωση ασφαλείας με 5 CVEs, αλλά ένας ήδη σπασμένος

Μάι 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Εβδομαδιαίες ενημερώσεις ασφαλείας cPanel: Πέντε CVE διορθώθηκαν, αλλά μία έμεινε... τρύπια

Αν διαχειρίζεσαι περιβάλλοντα cPanel, σίγουρα βλέπεις ενημερώσεις ασφαλείας να πέφτουν βροχή. Δεν είναι ρυθμικό ρολόι – είναι σειρήνα που χτυπάει συνέχεια.

Στις 13 Μαΐου, το cPanel και WHM έβγαλε patches για πέντε νέα CVE, από διάφορες κατηγορίες ευπαθειών. Το πρόβλημα; Μέσα σε ώρες, ερευνητής ασφαλείας, ο Shubham Shah, αποκάλυψε ότι τουλάχιστον ένα patch αποτυγχάνει παταγωδώς. Ας δούμε τι έγινε και πώς σε επηρεάζει το hosting σου.

Οι πέντε ευπάθειες: Ο εφιάλτης σου σε πέντε πράξεις

Η ενημέρωση καλύπτει πέντε σοβαρές ευπάθειες, όλες High severity, με CVSS μέχρι 8.6. Να οι λεπτομέρειες:

CVE-2026-29205 (Το ελλιπές patch)

Η κύρια βόμβα. Χωρίς authentication, επιτιθέμενος διαβάζει任意 αρχεία μέσω endpoints download του cpdavd, λόγω κακού φιλτραρίσματος paths και δικαιωμάτων. CVSS: 8.6. Το patch; Δεν το φτιάχνει πλήρως – μένεις εκτεθειμένος ακόμα και μετά το update.

CVE-2026-29206 (SQL Injection στο sqloptimizer)

SQL injection σε root επίπεδο, στο εργαλείο sqloptimizer όταν τρέχει logging αργών queries. Χρειάζεται αλληλεπίδραση χρήστη, αλλά ο κίνδυνος είναι τεράστιος. CVSS: 8.1.

CVE-2026-32991 (Αύξηση δικαιωμάτων στο Team Manager)

Σε multi-tenant setups με Team Manager, μέλη ομάδας γίνονται owners. CVSS: 7.1. Αν πουλάς cPanel accounts, αυτό σε χτυπάει άμεσα.

CVE-2026-32992 (Απενεργοποιημένο SSL στο DNS Cluster)

Κάποιος έσβησε την επαλήθευση SSL στο DNS Cluster. Αποτέλεσμα: Man-in-the-middle στην εσωτερική σου δίκτυο κλέβει credentials. CVSS: 8.2. Κλασικός εφιάλτης για security teams.

CVE-2026-32993 (CRLF Injection)

Χωρίς authentication, CRLF injection στο /unprotected/nova_error endpoint, για χειραγώγηση headers. Ίδια κατηγορία με την καμπάνια ransomware .sorry τον Απρίλιο. CVSS: 8.3.

Το πραγματικό ζήτημα: Patches βιαστικά

Στο Reddit, η ομάδα cPanel ανακοίνωσε εβδομαδιαίες ενημερώσεις ασφαλείας όσο σκαλίζουν το σύστημα. Χρονολόγιο: 28 Απριλίου, 8 Μαΐου, 13 Μαΐου – και νέα έρχεται σύντομα.

Αυτό δείχνει ότι η WebPros είναι σε φάση κρίσης. Εντοπίζουν τρύπες και τις κλείνουν όσο πιο γρήγορα γίνεται. Καλύτερα από το τίποτα, αλλά η πίεση φέρνει λάθη – όπως στο CVE-2026-29205.

Τι κάνεις άμεσα

  1. Μην εμπιστεύεσαι τυφλά τα patches. Εγκατέστησε τις ενημερώσεις της 13ης Μαΐου για την έκδοσή σου, αλλά πρόσεξε το CVE-2026-29205.

  2. Εστίασε στο CVE-2026-29205. Η ανάγνωση αρχείων χωρίς login είναι ενεργή απειλή. Έλεγξε logs για ύποπτη πρόσβαση σε /dav endpoints.

  3. Update παντού. Καλύπτει και WP Squared. Ισχύει για όλο το οικοσύστημα WebPros.

  4. Έλεγξε έκδοση. Patches από 11.86 έως 11.136. Σε CloudLinux 6, πήγαινε πρώτα σε cl6110 tier.

  5. Περίμενε το επόμενο patch. Το σωστό fix για CVE-2026-29205 έρχεται – βάλε το πρώτο στη λίστα.

Η ευρύτερη εικόνα

Δεν είναι μεμονωμένο. Παρακολουθούμε πλατφόρμα hosting υπό πίεση, που σκαλίζει συστηματικά προβλήματα και τα διορθώνει δημόσια. Υπεύθυνο, αλλά κουραστικό για admins που τρέχουν πίσω από updates.

Η καμπάνια .sorry τον Απρίλιο έδειξε τι γίνεται αν αμελήσεις. Οι μαζικές τρύπες του Μαΐου δείχνουν τι γίνεται όταν βγαίνουν μαζί. Κανένα ιδανικό, αλλά η διαφάνεια του cPanel βοηθάει.

Κράτα το NameOcean hosting σου ενημερωμένο, έλεγξε συστήματα και μην κοιμάσαι με "διορθωμένα" CVE.

Read in other languages:

RU BG CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN