24/7 Support
FAQ
 Dashbord
Kontosaldo:    
cPanel sprintet ukentlig: Fem CVEs lukket – én knekt allerede

cPanel sprintet ukentlig: Fem CVEs lukket – én knekt allerede

Mai 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel ruller ukentlig sikkerhetsoppdateringer: Fem CVEs fikset – men én holder ikke vann

De siste ukene har cPanel sluppet sikkerhetsfikser i et forrykende tempo. Det er ikke bare rutineoppdateringer. Det er et signal om alvorlige problemer som dukker opp kontinuerlig.

  1. mai kom patcher for fem nye CVEs i ulike kategorier. Men kort tid etterpå avslørte sikkerhetsforsker Shubham Shah at minst én av fiksen ikke løser problemet. Her er hva som skjedde – og hvorfor det rammer hosting-miljøene dine.

De fem sårbarhetene: En gjennomgang av trusselbildet

Oppdateringen 13. mai fikser fem high-priority CVEs, med CVSS-score opp mot 8.6. Her er oversikten:

CVE-2026-29205 (Den mangelfulle fiksen)
Uautentisert angriper kan lese vilkårlige filer via cpdavd-endepunkter på grunn av svak sti-filtrering og rettighetsstyring. CVSS: 8.6. Problemet? Patchen tetter ikke hullet helt – systemene dine er fortsatt sårbare etter oppdatering.

CVE-2026-29206 (SQL-injeksjon i sqloptimizer)
Root-nivå SQL-injeksjon i sqloptimizer-verktøyet når slow query logging kjører. Krever litt brukerinteraksjon, men potensialet er ødeleggende. CVSS: 8.1.

CVE-2026-32991 (Rettighetseskalering i Team Manager)
I flerleiet miljøer kan team-medlemmer i cPanel's Team Manager løfte seg selv til eier-nivå. CVSS: 7.1. Revsiler? Dette treffer deg direkte.

CVE-2026-32992 (SSL slått av i DNS Cluster)
SSL-verifisering er deaktivert i DNS Cluster. Resultat: Man-in-the-middle-angrep på interne nettverk kan stjele credentials. CVSS: 8.2. Klassisk mareritt for sikkerhetsteam.

CVE-2026-32993 (CRLF-injeksjon)
Uautentisert CRLF-injeksjon i /unprotected/nova_error-endepunktet åpner for header-manipulasjon. Samme type som drev .sorry-ransomware-angrepene i april. CVSS: 8.3.

Kjernen av problemet: Hastverk i fiksefasen

cPanel bekreftet på Reddit at de nå kjører "ukentlige sikkerhetsutgivelser" mens de jakter gjennom systemene. Tidslinjen stemmer: 28. april, 8. mai, 13. mai – neste kommer snart.

Denne takten viser at WebPros er i krisehåndtering. De oppdager sårbarheter og skynder patcher ut døra. Bedre enn å ignorere dem, men presset fører til feil. CVE-2026-29205 er et tydelig eksempel.

Hva du må gjøre i dag

  1. Ikke stol blindt på patchene. Installer 13. mai-oppdateringene for din cPanel/WHM-versjon, men vær klar over at CVE-2026-29205 trenger mer.

  2. Fokuser på CVE-2026-29205. Uautentisert fil-lesing er klar til utnyttelse. Sjekk /dav-endepunkter for mistenkelig trafikk.

  3. Oppdater alt i WebPros-økosystemet. Gjelder også WP Squared og lignende.

  4. Sjekk versjonslinjen din. Fikser strekker fra 11.86 til 11.136. CloudLinux 6-brukere: Bytt til cl6110 først.

  5. Vent på ekte fix. En solid patch for CVE-2026-29205 er underveis. Prioriter den høyt.

Det større bildet

Dette er ikke et engangstilfelle. cPanel er under press, finner systematisk feil og fikser dem i lyset av offentlig gransking. Det er ansvarsfullt – men slitsomt for admins som må henge med.

.sorry-ransomware i april viste prisen for forsinkede patcher. Mai-kaskaden viser kaoset ved masseoppdagelser. cPanel er åpne om tidsplanen, i det minste.

Hold NameOcean-infrastrukturen din oppdatert, overvåk tett, og ta ingen CVE lettvint – selv med "fikser".

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NL HU IT FR ES DE DA ZH-HANS EN