cPanel 每周安全冲刺：修了5个CVE，却有一个补丁直接翻车

最近管cPanel的服务器，没少看到安全更新吧？每周都来，像闹钟似的，非得响个不停。

5月13日，cPanel和WHM放出补丁，堵了5个新CVE。问题来了：没几个小时，安全研究员Shubham Shah就爆料，至少一个补丁没管用。咱们来扒扒这事儿，对你的hosting环境有啥影响。

这5个漏洞：服务器管理员的噩梦合集

这次更新针对5种漏洞，全是高危，CVSS分数最高8.6。简单说说：

CVE-2026-29205（补丁没补好）

头号隐患。没认证的攻击者，能通过cpdavd的附件下载接口，随便读文件。路径过滤和权限管理出岔子。CVSS：8.6。关键是，补丁没彻底搞定，更新后还漏着风。

CVE-2026-29206（sqloptimizer的SQL注入）

root权限的SQL注入，藏在sqloptimizer工具里。slow query log一开，用户互动就能中招。破坏力超强。CVSS：8.1。

CVE-2026-32991（Team Manager权限提升）

多租户环境用Team Manager？团队成员能自己升成owner。转售cPanel账户的，得多留意。CVSS：7.1。

CVE-2026-32992（DNS Cluster关了SSL）

DNS Cluster系统里，有人把SSL验证关了。内网中间人攻击，就能偷凭证。安全团队的失眠理由。CVSS：8.2。

CVE-2026-32993（CRLF注入）

没认证的CRLF注入，在/unprotected/nova_error接口玩头注入。跟4月的.sorry勒索软件那波一个套路。CVSS：8.3。

真问题：快修容易出纰漏

cPanel在Reddit上说，现在走“每周安全发布”节奏，正在排查系统。时间线对得上：4月28、5月8、5月13，几天后还得来一波。

这节奏说明WebPros在紧急抢修。漏洞一个个挖出来，补丁赶紧推。总比不管强，但压力山大，测试跟不上。CVE-2026-29205就是例子，速度快了，准头差了。

你现在得干啥

1. 别信补丁万能。赶紧拉5月13日的更新到你的cPanel/WHM版本，但CVE-2026-29205得额外盯着，等真修。

2. 先管CVE-2026-29205。没认证读任意文件，太好用了。盯紧cPanel实例，尤其是/dav接口的怪访问。

3. 全线更新。WP Squared（cPanel的WordPress hosting）也中招。5月13补丁覆盖整个WebPros家族。

4. 查版本线。从11.86到11.136都有补丁。CloudLinux 6的，先切到cl6110更新层。

5. 等后续补丁。CVE-2026-29205的真修复在路上了，到手就Critical优先。

说到底

这不是孤例。hosting平台正扛着压力，一批批挖漏洞，边修边被盯着。负责任，但管理员累坏了，总追更新。

4月的.sorry勒索就证明，不修的下场。5月这波批量爆雷，也没好到哪去。cPanel至少公开时间线，靠谱点。

NameOcean托管的服务器，保持更新，系统多盯一眼。这些CVE，别以为“修了”就睡大觉。