Supporto 24/7
FAQ
 Pannello di Controllo
Saldo Account:    
cPanel Sprint Settimanale Sicurezza: 5 CVE Tappate, Ma Una Già Bucata

cPanel Sprint Settimanale Sicurezza: 5 CVE Tappate, Ma Una Già Bucata

Mag 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel accelera sulle patch di sicurezza: cinque CVE fixate, ma una resta aperta

Se gestisci server con cPanel, sai bene che gli update di sicurezza fioccano. Non sono aggiornamenti tranquilli: sono segnali d'allarme che suonano in continuazione.

Il 13 maggio, cPanel e WHM hanno rilasciato fix per cinque CVE nuovi di zecca, di vari tipi. Il guaio? Pochi ore dopo, il ricercatore Shubham Shah ha rivelato su Reddit che almeno una patch non risolve il problema. Vediamo i dettagli e cosa implica per il tuo hosting.

Le cinque CVE: minacce ad alto rischio

Tutte classificate "High", con CVSS fino a 8.6. Ecco l'elenco:

CVE-2026-29205 (La patch che non funziona)

Punto critico. Un attaccante non autenticato legge file a piacere tramite i download attachment di cpdavd, per filtri path sbagliati e gestione privilegi debole. CVSS: 8.6. Il fix? Incompleto, sistemi ancora a rischio post-update.

CVE-2026-29206 (SQL injection in sqloptimizer)

Iniezione SQL con privilegi root nel tool sqloptimizer, attiva con log query lente. Serve interazione utente, ma il potenziale danno è enorme. CVSS: 8.1.

CVE-2026-32991 (Escalation in Team Manager)

Nei setup multi-tenant con Team Manager, i membri diventano owner del team. CVSS: 7.1. Se rivendi account cPanel, questa ti tocca da vicino.

CVE-2026-32992 (SSL disattivato nel DNS Cluster)

Verifica SSL saltata nel sistema DNS Cluster. Risultato: intercettazione credenziali da man-in-the-middle in rete interna. CVSS: 8.2. Roba da incubi per i team security.

CVE-2026-32993 (CRLF injection)

Iniezione CRLF non autenticata su /unprotected/nova_error, per manipolare header. Stesso tipo della campagna ransomware .sorry di aprile. CVSS: 8.3.

Il vero nodo: fix veloci sotto pressione

Su Reddit, il team cPanel annuncia release settimanali di sicurezza mentre setacciano il codice. Date confermano: 28 aprile, 8 maggio, 13 maggio. Prossima in arrivo presto.

Questo ritmo dice tutto: WebPros è in modalità emergenza. Trovano buchi e li tappano di corsa. Meglio di niente, ma la fretta porta errori, come per CVE-2026-29205.

Azioni immediate per te

  1. Non fidarti ciecamente dei fix. Installa gli update del 13 maggio per la tua linea cPanel/WHM, ma CVE-2026-29205 va trattato a parte.

  2. Focus su CVE-2026-29205. Lettura file non autenticata, sfruttabile ora. Controlla accessi sospetti su endpoint /dav.

  3. Aggiorna tutto. Vale anche per WP Squared e l'ecosistema WebPros.

  4. Verifica la versione. Copre da 11.86 a 11.136. Su CloudLinux 6, passa prima al tier cl6110.

  5. Aspetta il fix vero. Quello per CVE-2026-29205 arriverà. Priorità assoluta.

Lezione più ampia

Non è un caso isolato. cPanel affronta vulnerabilità a raffica, le ammette e le fixa pubblicamente. È il modo giusto, ma stancante per chi amministra.

La ransomware .sorry di aprile ha colpito duro sui sistemi non aggiornati. Questo flusso di maggio mostra i rischi di scoperte massive. Meglio stare all'erta.

Mantieni l'infrastruttura su NameOcean aggiornata, monitora i log e non ignorare CVE "patchate". Sicurezza prima di tutto.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU FR ES DE DA ZH-HANS EN