cPanel, WHM, 세 가지 새로운 취약점에 대한 수정 릴리스 — 지금 패치하세요

Source: The Hacker News

수정된 취약점

• CVE‑2026‑29201 (CVSS 4.3) – feature::LOADFEATUREFILE adminbin 호출에서 기능 파일 이름에 대한 입력 검증이 부족하여 임의 파일을 읽을 수 있음.

• CVE‑2026‑29202 (CVSS 8.8) – create_user API 호출의 plugin 매개변수에 대한 입력 검증이 부족하여 인증된 시스템 사용자 권한으로 임의의 Perl 코드를 실행할 수 있음.

• CVE‑2026‑29203 (CVSS 8.8) – 안전하지 않은 심볼릭 링크 처리로 사용자가 chmod를 통해 임의 파일의 접근 권한을 변경할 수 있어 서비스 거부 또는 권한 상승이 발생할 수 있음.

패치된 버전

cPanel 및 WHM

• 11.136.0.9 이상
• 11.134.0.25 이상
• 11.132.0.31 이상
• 11.130.0.22 이상
• 11.126.0.58 이상
• 11.124.0.37 이상
• 11.118.0.66 이상
• 11.110.0.116 이상
• 11.110.0.117 이상
• 11.102.0.41 이상
• 11.94.0.30 이상
• 11.86.0.43 이상

WP Squared

• 11.136.1.10 이상

cPanel은 또한 CentOS 6 또는 CloudLinux 6을 아직 사용 중인 고객을 위해 직접 업데이트 버전 110.0.114 를 출시했습니다. 사용자는 최적의 보호를 위해 최신 버전으로 업그레이드할 것을 권장합니다.

추가 정보

현재 이 취약점들이 실제로 악용된 증거는 없습니다. 이번 공개는 최근에 무기로 전환된 또 다른 중대한 결함 CVE‑2026‑41940 이후 이루어졌으며, 해당 결함은 제로데이로 활용돼 Mirai 봇넷 변종과 Sorry 라는 랜섬웨어 변종을 배포하는 데 사용되었습니다.