关键词
漏洞
cPanel修复三个高危漏洞 暂未发现活跃攻击
cPanel已发布安全更新,修复了cPanel & WHM系统中三个可能允许攻击者读取文件、执行代码或提升权限的漏洞。
漏洞详情
- (CVE-2026-29201)(CVSS评分4.3)
:
feature::LOADFEATUREFILE管理命令中的输入验证问题,攻击者可利用该漏洞读取服务器上的任意文件。 - (CVE-2026-29202)(CVSS评分8.8)
:
create_user API中因plugin参数验证不当导致的关键漏洞。经过身份验证的攻击者可利用此漏洞以受影响账户权限执行任意Perl代码。 - (CVE-2026-29203)(CVSS评分8.8)
:不安全的符号链接处理漏洞,用户可能通过
chmod更改任意文件权限,导致拒绝服务或权限提升。
这些漏洞已在多个受支持的cPanel & WHM版本中修复,包括11.136.0.9、11.134.0.25、11.132.0.31及更新版本。WP Squared以及旧版CentOS 6/CloudLinux 6系统也获得了相应更新。
虽然目前尚未发现活跃攻击,但此次漏洞披露恰逢威胁分子将另一个cPanel关键漏洞(CVE-2026-41940)武器化,作为0Day漏洞部署Mirai僵尸网络变种之后。
相关安全事件
美国网络安全和基础设施安全局(CISA)近期已将Microsoft Defender的一个漏洞(CVE-2026-41940,CVSS评分9.3)列入其已知被利用漏洞(KEV)目录。
网络安全公司watchTowr本周早些时候首次披露该漏洞,并发布工具帮助防御者识别受影响主机。watchTowr在公告中表示:"正如我们所述,根据KnownHost的报告,野外利用已经开始。因此我们发布检测工具生成器,帮助防御者识别受影响主机。"
(CVE-2026-41940)是一个影响cPanel和WHM 11.40之后版本的身份验证绕过漏洞。登录流程中的缺陷允许远程攻击者跳过或操纵身份验证检查,无需有效凭证即可访问控制面板。攻击者可能借此管理托管设置、访问敏感数据或控制服务器。
据Shadowserver基金会统计,可能有数千个实例暴露于风险中。cPanel和watchTowr已发布检测工具。相关漏洞利用可追溯至今年二月。域名注册商Namecheap已通知客户采取临时访问限制以降低风险。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴