Компания cPanel выпустила обновления для cPanel и Web Host Manager, или WHM — панели управления веб-хостингом. Исправления закрывают три уязвимости: злоумышленник мог читать чужие файлы, запускать код от имени пользователя или менять права доступа к файлам.
Две ошибки получили 8.8 балла по шкале CVSS, то есть относятся к высокому уровню риска. Прямых данных о массовых атаках через эти три уязвимости нет, но администраторам хостинга лучше не ждать первых инцидентов.
Что именно исправила cPanel
Разработчик закрыл три проблемы с идентификаторами CVE-2026-29201, CVE-2026-29202 и CVE-2026-29203. Все они затрагивают cPanel и WHM — инструменты, через которые владельцы сайтов и хостинг-провайдеры управляют доменами, файлами, почтой, базами данных и учётными записями.
Первая уязвимость, CVE-2026-29201, связана с недостаточной проверкой имени файла функции в вызове feature::LOADFEATUREFILE. Её оценили в 4.3 балла. При удачной атаке злоумышленник мог прочитать произвольный файл, если уже имел нужный уровень доступа к системе.
Вторая проблема серьёзнее. CVE-2026-29202 получила 8.8 балла: ошибка проверки параметра plugin в вызове create_user API могла привести к выполнению произвольного кода на Perl от имени уже прошедшей вход в систему учётной записи. Иными словами, атакующий не обязательно получает сервер с нуля, но может превратить доступ обычного пользователя в запуск команд внутри его системного окружения.
Третья уязвимость, CVE-2026-29203, тоже получила 8.8 балла. Она связана с небезопасной обработкой символических ссылок: пользователь мог менять права доступа к произвольному файлу через chmod. Последствия — отказ в обслуживании (denial of service, DoS — сбой, из-за которого сервис перестаёт нормально работать) или потенциальный рост привилегий.
Почему это важно не только хостерам
cPanel часто стоит не на домашних компьютерах, а на серверах хостинг-компаний, веб-студий и владельцев коммерческих сайтов. Через такую панель управляют интернет-магазинами, корпоративными порталами, почтовыми ящиками и сайтами с личными кабинетами.
Если панель слабо защищена, риск переходит от администратора к пользователям. Утечка файлов может раскрыть конфигурации, ключи доступа, резервные копии или данные для подключения к базе. Выполнение кода опаснее: оно открывает путь к подмене страниц, установке вредоносных скриптов и краже учётных данных посетителей.
Похожую логику атак мы видели в других инцидентах: сначала злоумышленники находят слабое место в серверном ПО, затем добираются до секретов и токенов. В материале про уязвимость Ollama и утечку ключей API мы уже разбирали, почему даже одна техническая ошибка может затронуть переписки, ключи и внутренние данные компании.
Какие версии нужно проверить
Исправления вышли для нескольких поддерживаемых веток cPanel и WHM. Администраторам нужно сверить установленную версию с минимально безопасной для своей ветки.
Патчи доступны начиная с таких версий: 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.116 и 11.110.0.117, 11.102.0.41, 11.94.0.30 и 11.86.0.43. Для WP Squared исправленной названа версия 11.136.1.10 и выше.
Для клиентов, которые всё ещё работают на CentOS 6 или CloudLinux 6, cPanel выпустила прямое обновление 110.0.114. Но это скорее аварийная мера для устаревших окружений. Старые операционные системы сложнее защищать: они чаще зависят от исключений, ручных настроек и отложенной миграции.
Почему откладывать патч опасно
По опубликованным данным, признаков эксплуатации именно этих трёх уязвимостей в реальных атаках пока нет. Но у cPanel уже был свежий тревожный фон: незадолго до этого злоумышленники использовали другую критическую ошибку продукта, CVE-2026-41940, как zero-day (уязвимость нулевого дня — ошибка, для которой на момент атаки ещё нет доступного исправления или защита не успела сработать).
Через ту проблему атакующие распространяли варианты Mirai — ботнета, то есть сети заражённых устройств, а также Sorry, программу-вымогатель (ransomware — вредоносное ПО, которое шифрует данные и требует выкуп). Это не доказывает, что новые CVE уже используют, но показывает интерес преступников к этой экосистеме.
Для бизнеса риск часто выглядит не как «взлом сервера», а как цепочка мелких сбоев: сайт открывается медленно, почта перестаёт уходить, пользователи жалуются на ошибки входа, а администратор видит странные изменения прав доступа. Такие симптомы легко спутать с сетевой проблемой или ошибкой браузера.
Если сотрудник формулирует жалобу в духе «почему дискорд не открывается на компьютере», а параллельно не работает корпоративная админка, не стоит сразу винить устройство пользователя. Нужно разделить бытовые проблемы доступа к веб-сервисам и признаки сбоя серверной инфраструктуры. Проверка вида «discord web вход открывается, а панель хостинга нет» не заменяет аудит логов, версий и прав на сервере.
Как снизить риск для сайта и данных
Первый шаг — обновить cPanel и WHM до исправленной версии. Второй — проверить, нет ли следов подозрительной активности: новых пользователей, неожиданных файлов, изменённых прав доступа, неизвестных плагинов и странных задач в расписании.
Отдельно стоит пересмотреть доступы. Если у каждой веб-студии, подрядчика и бывшего сотрудника остались рабочие учётные записи, даже исправленная уязвимость не спасёт от злоупотреблений. Для административных панелей важны уникальные пароли, многофакторная защита и запрет входа с лишних адресов там, где это возможно.
Не менее важна гигиена рабочих подключений. Администраторы часто заходят в панели хостинга из коворкингов, гостиниц и кафе. В таких случаях помогает сервис безопасного интернет-соединения, который защищает соединение и приватность данных при работе в публичных сетях.
Скачивать инструменты администрирования и плагины нужно только из проверенных источников. История с тем, как подменённые установщики JDownloader раздавали вредоносный Python-RAT, хорошо показывает: атака может начаться не с уязвимости сервера, а с заражённого компьютера администратора.
Что сделать прямо сейчас
- Проверить текущую версию cPanel, WHM или WP Squared в панели администратора.
- Обновиться до версии, где уже закрыты CVE-2026-29201, CVE-2026-29202 и CVE-2026-29203.
- Просмотреть список пользователей, API-доступов, плагинов и задач cron.
- Проверить права доступа к критичным файлам сайта, конфигурациям и резервным копиям.
- Изучить логи входов и действий за последние дни: особенно неудачные попытки, новые сессии и операции с файлами.
- Отключить или удалить учётные записи подрядчиков, которым доступ больше не нужен.
- Включить многофакторную защиту для администраторов, если она ещё не настроена.
- Запланировать миграцию со старых систем вроде CentOS 6 и CloudLinux 6, если сервер всё ещё зависит от них.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.