江蘇
關鍵詞
漏洞
cPanel修復三個高危漏洞 暫未發現活躍攻擊
cPanel已發布安全更新,修復了cPanel & WHM系統中三個可能允許攻擊者讀取文件、執行代碼或提升權限的漏洞。
漏洞詳情
- (CVE-2026-29201)(CVSS評分4.3)
:
feature::LOADFEATUREFILE管理命令中的輸入驗證問題,攻擊者可利用該漏洞讀取服務器上的任意文件。 - (CVE-2026-29202)(CVSS評分8.8)
:
create_user API中因plugin參數驗證不當導致的關鍵漏洞。經過身份驗證的攻擊者可利用此漏洞以受影響賬戶權限執行任意Perl代碼。 - (CVE-2026-29203)(CVSS評分8.8)
:不安全的符號鏈接處理漏洞,用戶可能通過
chmod更改任意文件權限,導致拒絕服務或權限提升。
這些漏洞已在多個受支持的cPanel & WHM版本中修復,包括11.136.0.9、11.134.0.25、11.132.0.31及更新版本。WP Squared以及舊版CentOS 6/CloudLinux 6系統也獲得了相應更新。
雖然目前尚未發現活躍攻擊,但此次漏洞披露恰逢威脅分子將另一個cPanel關鍵漏洞(CVE-2026-41940)武器化,作為0Day漏洞部署Mirai僵尸網絡變種之后。
相關安全事件
美國網絡安全和基礎設施安全局(CISA)近期已將Microsoft Defender的一個漏洞(CVE-2026-41940,CVSS評分9.3)列入其已知被利用漏洞(KEV)目錄。
網絡安全公司watchTowr本周早些時候首次披露該漏洞,并發布工具幫助防御者識別受影響主機。watchTowr在公告中表示:"正如我們所述,根據KnownHost的報告,野外利用已經開始。因此我們發布檢測工具生成器,幫助防御者識別受影響主機。"
(CVE-2026-41940)是一個影響cPanel和WHM 11.40之后版本的身份驗證繞過漏洞。登錄流程中的缺陷允許遠程攻擊者跳過或操縱身份驗證檢查,無需有效憑證即可訪問控制面板。攻擊者可能借此管理托管設置、訪問敏感數據或控制服務器。
據Shadowserver基金會統計,可能有數千個實例暴露于風險中。cPanel和watchTowr已發布檢測工具。相關漏洞利用可追溯至今年二月。域名注冊商Namecheap已通知客戶采取臨時訪問限制以降低風險。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
