24/7 Támogatás
GYIK
 Irányítópult
Fiók Egyenlege:    
cPanel heti biztonsági roham: öt CVE javítva, egy már megint betört

cPanel heti biztonsági roham: öt CVE javítva, egy már megint betört

Máj 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel heti biztonsági rohama: Öt CVE javítva, de egyik sem tökéletes

Ha cPanel-t használsz, biztos észrevetted: a biztonsági frissítések özönlenek. Nem a nyugodt fajtából valók.

Május 13-án jött a legújabb csomag: öt CVE-t foltoztak meg WHM-mel együtt. Csavar a történetben: pár órán belül kiderült, egy kutatótól, Shubham Shah-tól, hogy legalább az egyik folt nem működik rendesen. Nézzük meg, mi a helyzet, és mit tegyél a saját hostingoddal.

Az öt lyuk: Rémálmok a szerveredben

Mindegyik High szintű, CVSS-pontszámok akár 8.6-ig. Íme a lista:

CVE-2026-29205 (A lyukacsos folt)

Ez a nagy dobás. Regisztráció nélkül olvashatóak fájlok a cpdavd letöltési pontokon, mert gyenge az útvonal-szűrés és a jogosultságkezelés. CVSS: 8.6. A baj? A folt nem zárom le teljesen, szóval frissítés után is veszélyben vagy.

CVE-2026-29206 (SQL-injekció a sqloptimizerben)

Root-szintű SQL-injekció bujkál a sqloptimizer eszközben, ha bekapcsolva a lassú lekérdezések naplózása. Felhasználói klikk kell hozzá, de a pusztítás komoly. CVSS: 8.1.

CVE-2026-32991 (Jogosultságemelés a Team Managerben)

Többbérlős setupokban a Team Managerrel csapat tagok átválthatják magukat tulajtulajdonossá. CVSS: 7.1. Ha cPanel-fiókokat adsz tovább, ez fájni fog.

CVE-2026-32992 (SSL kikapcsolva DNS Clusterben)

Valaki kikapcsolta az SSL-ellenőrzést a DNS Cluster rendszerben. Fordítás: belső hálón támadó lehallgathatja a jelszavakat. CVSS: 8.2. Ilyenkor ébren tartja a biztonsági arcokat.

CVE-2026-32993 (CRLF-injekció)

Regisztráció nélkül CRLF-injekció a /unprotected/nova_error végponton, fejléc-manipulációval. Ugyanaz a típus hajtotta a .sorry ransomware-t áprilisban. CVSS: 8.3.

A lényeg: Gyorsaság vs. pontosság

cPanel-esek Reddit-en írták: heti biztonsági kiadásokkal mennek, miközben átfésülik a rendszert. Idővonal: április 28, május 8, 13 – következő napokon belül jöhet még.

Ez azt üzeni: a WebPros pánikmódban van. Sorra találják a hibákat, és foltozzák őket villámgyorsan. Jobb, mint semmit sem tenni, de a nyomás alatt hibáznak – lásd CVE-2026-29205.

Mit csinálj most azonnal

  1. Ne bízz vakon a foltokban. Töltsd le a május 13-i frissítéseket a cPanel/WHM verziódhoz, de CVE-2026-29205-re külön figyelj.

  2. Elsőbbség CVE-2026-29205. Aktívan kihasználható fájl olvasás. Nézd át a cPanel-jeidet gyanús /dav hozzáférések után.

  3. Frissíts mindent. WP Squared is érintett, a foltok az egész WebPros-univerzumra vonatkoznak.

  4. Ellenőrizd a verziót. 11.86-tól 11.136-ig terjednek a javítottak. CloudLinux 6-on előbb cl6110-re válts.

  5. Várj új foltot. A CVE-2026-29205 igazi javítása úton van – kezeld kritikusként.

Nagyobb kép

Ez nem egyszeri sztori. Egy hosting-platform küzd nyomás alatt, sorra tárja fel a gondokat, és próbálja betapasztani őket nyilvánosság előtt. Felelős hozzáállás, de fárasztó a sysadminoknak követni.

Április .sorry ransomware-je mutatta, mi történik, ha nem frissítesz időben. Májusi hullám azt, ha egyszerre jönnek a hibák. Semmi sem tökéletes, de a cPanel legalább nyílt kártyákkal játszik.

Tartsd NameOcean-en a szervert naprakészen, figyeld a rendszert, és ne bagatellizáld ezeket a CVE-ket – még a "foltozottakat" sem.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL IT FR ES DE DA ZH-HANS EN