Поддержка 24/7
FAQ
 Панель управления
Баланс счета:    
Еженедельный спринт cPanel по безопасности: пять CVE закрыто, одно уже взломано

Еженедельный спринт cPanel по безопасности: пять CVE закрыто, одно уже взломано

Май 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

Еженедельный спринт cPanel по безопасности: пять CVE закрыты, но одна дыра осталась открытой

Если вы админите cPanel, то наверняка заметили: обновления безопасности валятся пачками. Не радужные, а тревожные — как сирена, что не умолкает.

13 мая cPanel и WHM выпустили патчи для пяти свежих CVE из разных категорий. Но вот засада: через пару часов исследователь Shubham Shah объявил, что один патч — брак. Разберём, что к чему, и как это бьёт по вашей хостинг-инфраструктуре.

Пять дыр: от SQL-инъекций до чтения файлов

Релиз от 13 мая затыкает пять high-уязвимостей с CVSS до 8.6. Коротко по каждой:

CVE-2026-29205 (Патч на полпути)

Главная беда. Без авторизации атакующий читает любые файлы через endpoints загрузки в cpdavd — из-за кривого фильтра путей и прав. CVSS: 8.6. Проблема? Патч не докончил дело, серверы всё равно в зоне риска.

CVE-2026-29206 (SQL-инъекция в sqloptimizer)

Root-доступ через SQL-инъекцию в утилите sqloptimizer, если включён лог медленных запросов. Нужен клик юзера, но ущерб огромный. CVSS: 8.1.

CVE-2026-32991 (Эскалация в Team Manager)

В мультиарендных сетапах с Team Manager юзеры поднимаются до владельца команды. CVSS: 7.1. Реселлеры cPanel, это ваш кошмар.

CVE-2026-32992 (SSL вырублен в DNS Cluster)

В DNS Cluster отключили проверку SSL. Итог: MITM в локалке крадёт креды. CVSS: 8.2. Неспроста секьюрити-спецы не спят.

CVE-2026-32993 (CRLF-инъекция)

Без аторизации CRLF в /unprotected/nova_error — манипуляция заголовками. Типа той, что мучила в апреле кампания .sorry. CVSS: 8.3.

Суть беды: патчи на скорости

В Reddit команда cPanel написала: теперь еженедельные security-резы, пока чистят систему. График подтверждает — 28 апреля, 8 мая, 13 мая, следующий на носу.

Это сигнал: WebPros в режиме тушения пожаров. Находят дыры и лепят фиксы на лету. Лучше, чем игнор, но под давлением тесты хромают. CVE-2026-29205 тому пример — спешка подвела.

Что делать немедленно

  1. Не верьте патчам на слово. Качайте релиз 13 мая для вашей ветки cPanel/WHM, но CVE-2026-29205 требуют допзащиты.

  2. Фокус на CVE-2026-29205. Чтение файлов без логина — лакомый кусок для эксплойтов. Следите за логами, особенно /dav-эндпоинтами.

  3. Обновляйте всё. Затрагивает и WP Squared. Патчи для всего стека WebPros.

  4. Проверьте версию. Фиксы от 11.86 до 11.136. На CloudLinux 6 — сначала мигрируйте на cl6110.

  5. Ждите апдейта. Нормальный фикс для CVE-2026-29205 впереди — ставьте в приоритет.

Взгляд шире

Это не случайность. Платформа под прессингом: методично вылавливают баги и фиксят под прицелом. Ответственно, но админам — морока с апдейтами.

Апрельский .sorry показал цену промедления. Майский шквал — цену пакетного обнаружения. Ни то, ни другое не сахар, но cPanel хотя бы честны с таймлайнами.

Держите инфраструктуру на NameOcean в тонусе, мониторьте и не расслабляйтесь — даже "почищенные" CVE кусаются.

Read in other languages:

BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN