Support 24h/24 et 7j/7
FAQ
 Tableau de Bord
Solde du compte :    
cPanel Sprint Sécurité Hebdo : Cinq CVE Bouclées, Mais Une Déjà Craquée

cPanel Sprint Sécurité Hebdo : Cinq CVE Bouclées, Mais Une Déjà Craquée

Mai 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Le sprint sécurité hebdomadaire de cPanel : cinq CVE corrigées, mais une déjà contournée

Si vous gérez un environnement cPanel, les mises à jour sécurité tombent non-stop ces temps-ci. Pas le genre de routine plaisante. Plutôt un signal d'alarme qui sonne en boucle.

Le 13 mai, cPanel et WHM ont sorti des correctifs pour cinq CVE inédites. Problème : un chercheur en sécurité, Shubham Shah, a révélé en quelques heures qu'au moins un patch rate sa cible. On décortique l'affaire et ses impacts sur votre infra hosting.

Les cinq failles : un catalogue de cauchemars

Ces CVE du 13 mai touchent des vulnérabilités variées, toutes classées High avec des scores CVSS jusqu'à 8,6. Détails :

CVE-2026-29205 (La correction bancale)

Une attaquant sans auth peut lire n'importe quel fichier via les endpoints de téléchargement d'attachements cpdavd. Mauvais filtrage de chemin et gestion des privilèges. CVSS : 8,6. Le hic ? Le patch ne bouche pas tout. Votre système reste vulnérable post-update.

CVE-2026-29206 (Injection SQL dans sqloptimizer)

Injection SQL root dans l'outil sqloptimizer dès que le logging des queries lentes est activé. Besoin d'interaction user, mais potentiel dévastateur. CVSS : 8,1.

CVE-2026-32991 (Escalade de privilèges dans Team Manager)

Dans les setups multi-tenant avec Team Manager, un membre peut se promouvoir owner. CVSS : 7,1. Si vous revendez des comptes cPanel, ça vous concerne direct.

CVE-2026-32992 (SSL désactivé dans DNS Cluster)

Vérification SSL coupée dans le système DNS Cluster. Résultat : un attaquant MITM sur le réseau interne intercepte vos creds. CVSS : 8,2. Le type de faille qui hante les équipes sécu.

CVE-2026-32993 (Injection CRLF)

Injection CRLF non authentifiée sur /unprotected/nova_error. Manipulation d'en-têtes possible. Même famille que la campagne ransomware .sorry d'avril. CVSS : 8,3.

Le vrai souci : corriger à la va-vite

Sur Reddit, l'équipe cPanel annonce un rythme "release sécurité hebdo" pour trier leur bazar. Preuves : 28 avril, 8 mai, 13 mai. Prochain drop imminent.

Ce train d'enfer crie une chose : WebPros est en mode urgence. Ils débusquent les failles et patchent à chaud. Mieux que le silence radio, mais la pression bâcle les tests. CVE-2026-29205 en est la preuve flagrante.

Actions immédiates pour vous

  1. Pas de confiance aveugle. Installez les patches du 13 mai sur votre branche cPanel/WHM. Mais CVE-2026-29205 mérite un zoom : pas encore scellé.

  2. Focus sur CVE-2026-29205. Lecture de fichiers sans auth, exploitable now. Surveillez les accès louches sur vos instances, surtout /dav.

  3. Mettez à jour partout. WP Squared (la plateforme WordPress de cPanel) est incluse. Les patches couvrent tout l'écosystème WebPros.

  4. Vérifiez votre version. Correctifs de 11.86 à 11.136. Sur CloudLinux 6 ? Passez d'abord au tier cl6110.

  5. Attendez le vrai fix. Pour CVE-2026-29205, un patch solide arrive. Priorité critique.

Vue d'ensemble

Ça n'arrive pas par hasard. On voit une plateforme hosting sous tension, qui fouille ses entrailles et patch à vue. Approche responsable, mais usante pour les admins qui courent après les updates.

La vague ransomware .sorry en avril a montré les dégâts d'un retard. Ce flot de CVE en mai illustre les batchs de découvertes. Aucun scénario top, mais cPanel joue la transparence sur ses délais.

Maintenez votre infra NameOcean à jour, scrutez vos logs, et ne baillez pas devant ces CVE – même "corrigées".

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT ES DE DA ZH-HANS EN