De dag dat je server twee dringende updates eiste

Stel je voor: je beheert een server met cPanel. Op 8 mei word je wakker met niet één, maar twee acute beveiligingsproblemen. De ene heeft al een patch klaarliggen. De andere? Geen oplossing in zicht, maar de aanvalsmethode ligt al openbaar op straat. Een typische les: beveiliging volgt jouw agenda niet.

cPanel slaat toe met drie kwetsbaarheden tegelijk

cPanel koos op 8 mei voor een slimme tactiek. In tegenstelling tot de authentication bypass van 28 april (CVE-2026-41940), die al werd misbruikt toen de details bekend werden, kondigden ze patches aan zonder technische info. Daarna dropte ze alles tegelijk: fixes én details.

Drie CVEs tegelijk: CVE-2026-29201, CVE-2026-29202 en CVE-2026-29203. Wat maakt ze gevaarlijk?

CVE-2026-29201 (CVSS 4.3 - Medium) Hier faalt de inputvalidatie in de LOADFEATUREFILE-functie van adminbin. Een ingelogde gebruiker kan een relatief pad doorgeven om willekeurige bestanden wereldwijd leesbaar te maken. Authentificatie nodig, maar eenmaal binnen: hallo gevoelige config-files, backups en meer.

Het grotere risico Alle drie eisen een geldige sessie. Lijkt beheersbaar, maar bedenk: die april-kwetsbaarheid werd 64 dagen lang actief uitgebuit. Als je server toen is gekraakt, heb je mogelijk al een onzichtbare indringer.

DirtyFrag: een kernel-ramp uit 2017

Ondertussen worstelde de Linux-kernelwereld met DirtyFrag, onthuld op 7 mei. Een lokale privilege escalation die al sinds 2017 sluimert. De exploitcode ging meteen de wereld in, zonder patch.

Elke niet-geprivilegieerde gebruiker kan root worden. Geen admin of service-account nodig – iedereen met toegang.

Gelukkig reageerden distro's snel met kernelpatches op 8 mei. Maar updaten betekent rebooten, en dus downtime. Op een live server met meerdere klanten? Geen makkelijke keuze.

Wat je nú moet doen

Stap 1: Check je cPanel-status Die april-bypass (CVE-2026-41940) wordt al weken misbruikt. Patchen is geen optie meer, het is verplicht. Maar pas op: als indringers tijdens die 64 dagen binnenkwamen, zijn ze er nog. Onderneem:

• Logbestanden scannen op verdachte logins
• Belangrijke bestanden controleren op wijzigingen
• Overweeg een volledige audit bij twijfel

Stap 2: Kernel-update inplannen DirtyFrag vraagt lokale toegang, dus lager direct risico. Toch cruciaal. Plan het in een onderhoudsvenster. Downtime sucks, maar een open escalatiepad is erger.

Stap 3: Test voor je deployt Klik niet zomaar op update. Probeer patches eerst in staging. We kennen genoeg verhalen van securityfixes die iets anders slopen. Een uur testen scheelt dagen gedoe.

Slimmere disclosure-tactiek

cPanel's aanpak – waarschuwen zonder details, dan alles tegelijk – is goud waard. Admins kunnen voorbereiden zonder aanvallers een handleiding te geven. Anders dan bij CVE-2026-41940, waar de aanval al liep voor de waarschuwing. Timing van disclosure maakt het verschil.

Waarom dit breder telt

Twee kwetsbaarheden op één dag: app-niveau én kernel. Beveiliging is gelaagd. Patch je cPanel niet en je kernel wel? Half werk. Beide lagen verdienen focus.

DirtyFrag toont aan: bugs blijven jaren hangen. Geen 'patch en klaar'. Je stack telt duizenden onderdelen met eigen cycli.

Patching makkelijker maken

Bij NameOcean of eigen cPanel? Dit zijn praktische tips:

• Automatiseer slim. Kernel-updates gaan vaak vanzelf, mits je apps reboots aankunnen.
• Volg CVEs in je stack. Tools waarschuwen op tijd.
• Staging eerst. Altijd.
• Log alles. Welke patch, wanneer? Goud bij incidenten.

8 mei was geen toeval – het is de nieuwe realiteit. Meerdere kritieke issues, verschillende urgenties. Wie patching als routine ziet, overleeft. Blijf scherp.