cPanel、WHM 发布针对三项新漏洞的修复 — 立即修补

Source: The Hacker News

已修复的漏洞

• CVE‑2026‑29201 (CVSS 4.3) – 在 feature::LOADFEATUREFILE 管理员调用中对特性文件名的输入验证不足，导致任意文件读取。

• CVE‑2026‑29202 (CVSS 8.8) – 在 create_user API 调用中对 plugin 参数的输入验证不足，导致以已认证系统用户身份执行任意 Perl 代码。

• CVE‑2026‑29203 (CVSS 8.8) – 不安全的符号链接处理，使用户能够通过 chmod 修改任意文件的访问权限，导致拒绝服务或可能的特权提升。

已修补的版本

cPanel 和 WHM

• 11.136.0.9 及以上
• 11.134.0.25 及以上
• 11.132.0.31 及以上
• 11.130.0.22 及以上
• 11.126.0.58 及以上
• 11.124.0.37 及以上
• 11.118.0.66 及以上
• 11.110.0.116 及以上
• 11.110.0.117 及以上
• 11.102.0.41 及以上
• 11.94.0.30 及以上
• 11.86.0.43 及以上

WP Squared

• 11.136.1.10 及以上

cPanel 还发布了 110.0.114 版本，作为仍在使用 CentOS 6 或 CloudLinux 6 客户的直接更新。建议用户升级到最新版本以获得最佳防护。

附加信息

目前尚无证据表明这些漏洞已在野外被利用。此次披露紧随另一关键漏洞 CVE‑2026‑41940 的武器化，该漏洞被用作零日攻击，向 Mirai 僵尸网络变种和名为 Sorry 的勒索软件传播载体。