24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
cPanel security sprint: vijf CVE's gedicht, één alweer gekraakt

cPanel security sprint: vijf CVE's gedicht, één alweer gekraakt

Mei 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel fixt wekelijks securitylekken: Vijf CVE's gepatcht, maar één blijft openliggen

Beheers je cPanel-servers? Dan vliegen de security-updates je om de oren. Het voelt als een niet aflatende sirene die waarschuwt voor gevaar.

Op 13 mei rolde cPanel/WHM patches uit voor vijf nieuwe CVE's, verspreid over verschillende kwetsbaarheden. Maar kort daarna maakte security-onderzoeker Shubham Shah bekend dat minstens één patch faalt. Tijd om te duiken in de details en de impact op jouw hosting-setup.

De vijf lekken: Hoogste prioriteit voor beheerders

Alle vijf CVE's krijgen een High severity-score, met CVSS-punten tot 8.6. Hier een overzicht:

CVE-2026-29205 (De halfbakken patch)

Unauthenticated aanvallers lezen willekeurige bestanden via cpdavd-endpoints door slechte path-filtering en rechtenbeheer. CVSS: 8.6. De patch lost het niet op – je servers blijven kwetsbaar na de update.

CVE-2026-29206 (SQL-injectie in sqloptimizer)

Root-SQL-injectie in de sqloptimizer-tool bij actieve slow query logging. Vraagt user-interactie, maar potentieel rampzalig. CVSS: 8.1.

CVE-2026-32991 (Rechten-escalatie in Team Manager)

In multi-tenant setups met Team Manager promoveren teamleden zichzelf tot owner. CVSS: 7.1. Resellers, dit raakt jou direct.

CVE-2026-32992 (SSL uitgeschakeld in DNS Cluster)

SSL-verificatie kapot in DNS Cluster: man-in-the-middle op je netwerk steelt credentials. CVSS: 8.2. Nachtmerries voor security-teams.

CVE-2026-32993 (CRLF-injectie)

Unauthenticated CRLF-injectie via /unprotected/nova_error voor header-manipulatie. Herinnert aan de .sorry-ransomware van april. CVSS: 8.3.

Het echte issue: Haastwerk bij patches

Op Reddit meldt cPanel een wekelijks security-release-schema. Kijk naar de data: 28 april, 8 mei, 13 mei – en meer op komst. WebPros zit in crisisbeheer. Ze spotten lekken en patchen razendsnel. Goed nieuws, maar druk leidt tot fouten, zoals bij CVE-2026-29205.

Actieplan voor nu

  1. Patch niet blind vertrouwen. Installeer de 13 mei-updates voor jouw cPanel/WHM-versie, maar check CVE-2026-29205 extra.

  2. Focus op CVE-2026-29205. Actief uitbuitbaar file read – scan /dav-toegangen op verdachte activiteit.

  3. Update alles. Ook WP Squared en de hele WebPros-lijn vallen erbij.

  4. Controleer je versie. Patches van 11.86 tot 11.136. CloudLinux 6? Stap over naar cl6110-tier.

  5. Wacht op de echte fix. Voor CVE-2026-29205 komt een solide patch – maak die prioriteit 1.

Wat dit betekent voor de hostingwereld

Dit is geen eenmalig gedoe. cPanel graaft systematisch door hun code en fixt onder publieke druk. Verantwoord, maar slopend voor admins die moeten bijblijven.

De .sorry-ransomware van april liet zien wat unpakt verkeerd doet. Deze meivloed toont de chaos van bulk-ontdekkingen. cPanel communiceert open over timelines – dat scheelt.

Houd je NameOcean-infrastructuur up-to-date, monitor strak en negeer geen CVE, zelfs niet met een 'fix'.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN