Tuki 24/7
UKK
 Kojelauta
Tilin saldo:    
cPanelin viikkosprintti turvassa: Viisi CVE:tä paikattu – yksi jo murrettu

cPanelin viikkosprintti turvassa: Viisi CVE:tä paikattu – yksi jo murrettu

Tou 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanelin viikkopäivitys turva-aukkojen paikkaamiseen: Viisi CVE:tä paikattu, yksi jo murtunut

cPanelin ylläpitäjät ovat viime aikoina saaneet turvapäivityksiä tiheään tahtiin. Ei mukavaa rutiinia, vaan jatkuva hälytysmerkki.

  1. toukokuuta cPanel ja WHM julkaisivat korjaukset viidelle uudelle CVE:lle. Ongelma: tunti tunnin päästä tutkija Shubham Shah ilmoitti Redditissä, että ainakin yksi paikkaus ei toimi kunnolla. Katsotaan, mistä on kyse ja mitä se tarkoittaa hosting-ympäristöösi.

Viisi vakavaa aukkoa: Pahimmat pelot läpi

Toukokuun 13. päivitys kattaa viisi eri tyypin haavoittuvuutta. Kaikki vakavuusluokassa High, CVSS-pisteet jopa 8,6. Tässä lyhyesti:

CVE-2026-29205 (Puutteellinen korjaus)

Pääongelma. Rekisteröitymätön hyökkääjä lukee mielivaltaisia tiedostoja cpdavd:n liitetiedostojen latauspisteiden kautta. Syynä heikko polkusuojaus ja oikeuksien hallinta. CVSS: 8,6. Korjaus ei kuitenkaan tepsi täysin, joten päivitys ei riitä.

CVE-2026-29206 (SQL-injektio sqloptimizerissa)

Juurella toimiva SQL-injektio sqloptimizer-työkalussa, kun hidas kyselylokitus on päällä. Vaatii käyttäjän toiminnan, mutta vahinko voi olla massiivinen. CVSS: 8,1.

CVE-2026-32991 (Oikeuksien nousu Team Managerissa)

Monivuokralaisissa ympäristöissä Team Managerin jäsenet voivat ylentää itsensä omistajiksi. CVSS: 7,1. Resellerit, tämä koskettaa suoraan.

CVE-2026-32992 (SSL pois päältä DNS Clusterissa)

DNS Clusterin SSL-tarkistus on poistettu käytöstä. Sisäverkon man-in-the-middle voi kaapata tunnukset. CVSS: 8,2. Turvatehtävien painajainen.

CVE-2026-32993 (CRLF-injektio)

Rekisteröitymätön CRLF-injektio /unprotected/nova_error -pisteessä mahdollistaa otsakien manipuloinnin. Sama tyyppi kuin .sorry-ransomware-hyökkäyksissä huhtikuussa. CVSS: 8,3.

Todellinen haaste: Nopea paikkaus paineessa

cPanelin tiimi kertoi Redditissä siirtyneensä viikkorytmiin turvapäivityksissä. Aikataulu vahvistaa: 28.4., 8.5., 13.5. – ja seuraava tulossa pian.

Tämä kertoo, että WebPros on kriisinhallintatilassa. He kaivavat esiin aukkoja ja paikkaavat ne vauhdilla. Parempi kuin hiljaisuus, mutta kiire sotkee joskus laadun. CVE-2026-29205 on esimerkki.

Mitä teet heti nyt

  1. Älä luota paikkauksiin sokeasti. Hae 13. toukokuun päivitykset cPanel/WHM-versioillesi, mutta CVE-2026-29205 vaatii extra-tarkkailua.

  2. Keskity CVE-2026-29205:een. Rekisteröitymätön tiedostojen luku on heti hyväksikäytettävissä. Seuraa /dav-päitä epäilyttävää liikennettä.

  3. Päivitä koko linja. WP Squaredkin kuuluu mukaan. Paikkaukset kattavat WebProsin koko ekosysteemin.

  4. Tarkista versiosi. Korjatut versiot 11.86–11.136. CloudLinux 6:ssa vaihda ensin cl6110-tasolle.

  5. Odottele kunnollista korjausta. CVE-2026-29205:n aito fix tulee pian – priorisoi se.

Laajempi näkymä

Ei yksittäinen tapaus. Hosting-alusta on kovalla koetuksella: aukot löytyvät systemaattisesti, korjaukset kiireessä. Avoimuus on plussaa, mutta ylläpitäjät uupuvat perässä.

Huhtikuun .sorry-ransomware näytti, mitä tapahtuu viivyttelyssä. Toukokuun aalto puolestaan batch-paikkauksissa. Kumpikaan ei ole ideaali.

Pidä NameOceanin hostingit ajan tasalla, valvo tarkasti ja älä vältä näitä CVE:itä – edes "korjattuja".

Read in other languages:

RU BG EL CS UZ TR SV RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN