Wsparcie 24/7
FAQ
 Pulpit
Saldo konta:    
Tygodniowy sprint bezpieczeństwa cPanel: Załatano 5 CVE, ale jedno już złamane

Tygodniowy sprint bezpieczeństwa cPanel: Załatano 5 CVE, ale jedno już złamane

Maj 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Tygodniowy sprint bezpieczeństwa cPanel: Załatano pięć CVE, ale jedno nadal kuleje

Jeśli zarządzasz serwerami z cPanel, na pewno zauważyłeś lately falę aktualizacji bezpieczeństwa. Przybywają regularnie, jak natrętny budzik, który nie daje spokoju.

13 maja cPanel i WHM wypuścili łatki dla pięciu nowych CVE z różnych kategorii. Ale jest haczyk – i to poważny: już kilka godzin później badacz Shubham Shah ogłosił publicznie, że co najmniej jedna z tych poprawek nie działa. Sprawdźmy, co się stało i jak to wpływa na twój hosting.

Pięć luk, które budzą grozę

Aktualizacja z 13 maja załatuje pięć poważnych dziur, wszystkie o wysokim ryzyku i CVSS do 8.6. Przejdźmy po kolei:

CVE-2026-29205 (Ta, co nie działa do końca)

Główny problem. Niezalogowany haker czyta dowolne pliki przez endpointy pobierania załączników w cpdavd. Błąd w filtrowaniu ścieżek i zarządzaniu uprawnieniami. CVSS: 8.6. Patch? Wydaje się, że tylko częściowy – systemy wciąż narażone po aktualizacji.

CVE-2026-29206 (SQL Injection w sqloptimizer)

Luka iniekcji SQL na poziomie roota w narzędziu sqloptimizer, gdy działa logowanie wolnych zapytań. Potrzeba interakcji użytkownika, ale skutki mogą być opłakane. CVSS: 8.1.

CVE-2026-32991 (Eskalacja w Team Manager)

W środowiskach multi-tenant z Team Manager członkowie zespołu mogą awansować na właściciela. CVSS: 7.1. Jeśli revenduujesz konta cPanel, to boli szczególnie.

CVE-2026-32992 (Wyłączony SSL w DNS Cluster)

Ktoś wyłączył weryfikację SSL w systemie DNS Cluster. Efekt? Atakujący w sieci wewnętrznej przechwytuje hasła. CVSS: 8.2. Koszmar dla działów bezpieczeństwa.

CVE-2026-32993 (CRLF Injection)

Niezalogowana iniekcja CRLF w /unprotected/nova_error. Pozwala manipulować nagłówkami. To ta sama rodzina luk, co w kampanii ransomware .sorry z kwietnia. CVSS: 8.3.

Prawdziwy kłopot: Łatki na szybko

Zespół cPanel na Reddicie przyznał, że przechodzą na model "tygodniowych wydań bezpieczeństwa". Kalendarz to potwierdza: 28 kwietnia, 8 maja, 13 maja – następna lada chwila.

Ten pośpiech mówi jedno: WebPros działa w trybie kryzysowym. Odkrywają luki i łatają je na bieżąco. Lepiej niż milczenie, ale presja oznacza błędy. CVE-2026-29205 to dowód – szybkość kosztuje jakość.

Co zrobić już teraz

  1. Nie ufaj ślepo łatkom. Pobierz aktualizacje z 13 maja dla swojej linii cPanel/WHM, ale CVE-2026-29205 wymaga ekstra uwagi.

  2. Skup się na CVE-2026-29205. Nieautoryzowany odczyt plików jest łatwy do wykorzystania. Śledź dostęp do endpointów /dav.

  3. Aktualizuj wszystko. Dotyczy też WP Squared i całego ekosystemu WebPros.

  4. Sprawdź wersję. Łatki od 11.86 do 11.136. Na CloudLinux 6 najpierw przejdź na cl6110.

  5. Czekaj na poprawkę. Prawdziwa naprawa CVE-2026-29205 w drodze – priorytet krytyczny.

Szerszy kontekst

To nie jednorazowa akcja. Widzimy platformę hostingową pod presją, która systematycznie czyści bałagan. Odpowiedzialne podejście, ale męczące dla adminów.

Kampania .sorry w kwietniu pokazała, co grozi przy zaniedbaniach. Majowa lawina – co się dzieje przy masowych odkryciach. Żaden wariant idealny, ale cPanel jest otwarty co do terminów.

Utrzymuj infrastrukturę na NameOcean na bieżąco, monitoruj serwery i nie ignoruj CVE – nawet tych "załatanym".

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT NB NL HU IT FR ES DE DA ZH-HANS EN