Suporte 24/7
Perguntas frequentes
 Painel de Controle
Saldo da conta:    
cPanel Corrige 5 CVEs na Sprint Semanal de Segurança, Mas Uma Já Foi Quebrada

cPanel Corrige 5 CVEs na Sprint Semanal de Segurança, Mas Uma Já Foi Quebrada

Mai 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Sprint Semanal de Segurança do cPanel: Cinco CVEs Corrigidos, Mas Um Já Falhou

Se você gerencia ambientes cPanel, deve ter visto as atualizações de segurança pipocando toda semana. Não é ritmo tranquilo, é sinal de alerta constante.

No dia 13 de maio, cPanel e WHM soltaram patches para cinco CVEs novos, de tipos variados. O problema? Horas depois, o pesquisador Shubham Shah revelou que pelo menos um deles não resolveu nada. Vamos entender o que rolou e o impacto no seu hosting.

As Cinco Falhas: Pesadelos em Detalhe

O release de 13 de maio tapa cinco buracos graves, todos com severidade Alta e CVSS até 8.6. Veja o resumo:

CVE-2026-29205 (A Correção Incompleta)

A estrela ruim da lista. Atacante sem autenticação lê arquivos qualquer via endpoints de download no cpdavd, por falha em filtros de caminho e privilégios. CVSS: 8.6. Mas o patch não basta – o risco segue vivo pós-update.

CVE-2026-29206 (SQL Injection no sqloptimizer)

Injeção SQL com privilégios de root no utilitário sqloptimizer, ativado com log de queries lentas. Precisa de interação do usuário, mas o estrago é bruto. CVSS: 8.1.

CVE-2026-32991 (Escalada no Team Manager)

Em setups multi-tenant com Team Manager, membros viram donos do time. CVSS: 7.1. Revendedores de contas cPanel, fiquem de olho.

CVE-2026-32992 (SSL Desabilitado no DNS Cluster)

Verificação SSL cortada no DNS Cluster. Resultado: MITM na rede interna rouba credenciais. CVSS: 8.2. Dor de cabeça certa para equipes de segurança.

CVE-2026-32993 (CRLF Injection)

Injeção CRLF sem autenticação no endpoint /unprotected/nova_error, manipulando headers. Mesma classe da campanha .sorry de ransomware em abril. CVSS: 8.3.

O Verdadeiro Desafio: Correções na Pressa

No Reddit, a equipe cPanel confirmou o ritmo de "release semanal de segurança" enquanto vasculham o código. Prova: 28 de abril, 8 de maio, 13 de maio – e mais um a caminho.

Isso grita WebPros em modo emergência. Eles acham falhas e patcham rápido. Melhor que ignorar, claro. Mas a pressa explica tropeços como o CVE-2026-29205: velocidade acima de perfeição.

Ações Imediatas para Você

  1. Atualize, mas desconfie. Baixe os patches de 13 de maio para sua linha de versão cPanel/WHM. CVE-2026-29205 pede atenção extra.

  2. Foco no CVE-2026-29205. Leitura de arquivos sem login é exploit ativo. Monitore acessos suspeitos em /dav.

  3. Cubra todas as linhas. WP Squared e ecossistema WebPros entram na jogada. Patches valem para tudo.

  4. Confira sua versão. De 11.86 a 11.136. No CloudLinux 6, mude para tier cl6110 antes.

  5. Aguarde o patch definitivo. O conserto real do CVE-2026-29205 vem em breve. Priorize na hora.

Visão Geral

Não é caso isolado. Estamos vendo uma plataforma de hosting sob pressão, caçando bugs em massa e consertando às pressas. Maneira responsável, sim – mas exaustiva para admins.

A ransomware .sorry de abril lembrou o custo de atrasos. Essa onda de maio mostra o caos das descobertas em lote. Nada ideal, mas transparência no cronograma ajuda.

Mantenha sua infra no NameOcean atualizada, monitore tudo e não relaxe com esses CVEs – nem os "corrigidos".

Read in other languages:

RU BG EL CS UZ TR SV FI RO PL NB NL HU IT FR ES DE DA ZH-HANS EN