Multiples vulnérabilités affectant cPanel & WHM

Origine : bjCSIRT

Numéro : 2026/ALERTE/031

APERÇU :

De multiples vulnérabilités ont été découvertes dans cPanel & WHM, permettant à un acteur malveillant authentifié d’accéder à des fichiers sensibles, d’exécuter du code arbitraire, de provoquer un déni de service et d’élever ses privilèges sur les systèmes affectés.

DESCRIPTION

cPanel & WHM est une plateforme de gestion d’hébergement web fournissant des interfaces centralisées pour l’administration des serveurs et l’hébergement de sites.

WP Squared (WP2) est une plateforme d’hébergement WordPress managé reposant sur le socle technique de cPanel & WHM.

Ces solutions sont affectées par plusieurs vulnérabilités libellées comme suit :

CVE-2026-29201 : Cette vulnérabilité découle d’un défaut de validation des entrées lors de l’appel adminbin à la fonction feature::LOADFEATUREFILE. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de lire des fichiers arbitraires sur le système en utilisant des chemins relatifs non filtrés.

Cette vulnérabilité est classée moyenne avec un score de sévérité de 4.3 selon le CVSS v3.1.

CVE-2026-29202 : Cette vulnérabilité est due à une validation insuffisante du paramètre « plugin » dans l’appel API « create_user ». Elle permettrait à un acteur malveillant authentifié d’injecter et d’exécuter du code Perl arbitraire avec les droits de l’utilisateur système associé au compte authentifié, ouvrant la voie à une compromission du compte et à des mouvements latéraux sur le serveur.

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS v3.1.

CVE-2026-29203 : Cette vulnérabilité résulte d’un suivi non sécurisé de liens symboliques (symlink following) lors de l’exécution d’une opération chmod dans le plugin Nova. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’appliquer des permissions restrictives ou d’attribuer des privilèges root à des fichiers arbitraires du système, conduisant à une élévation locale de privilèges ou à un déni de service

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS v3.1.

IMPACT

Exécution de code à distance ;

Élevation de privilèges sur le système ;

Atteinte à la confidentialité des données ;

Atteinte à l’intégrité du système ;

Déni de service (DoS).

SYSTÈMES AFFECTÉS :

Versions de cPanel & WHM antérieures à 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.117, 11.102.0.41, 11.94.0.30 et 11.86.0.43 ;

Versions de WP Squared (WP2) antérieures à 11.136.1.10 ;

Versions de cPanel & WHM sous CentOS 6 ou CloudLinux 6 antérieures à 110.0.114.

MESURES À PRENDRE :

Mettre à jour cPanel & WHM ainsi que WP Squared (WP2) vers leurs versions stables en fonction de la branche utilisée ;

Pour les serveurs sous CentOS 6 ou CloudLinux 6, appliquer la mise à jour 110.0.114 ;

Exécuter manuellement la mise à jour via la commande /scripts/upcp –force lorsque les mises à jour automatiques ne sont pas activées.

RÉFÉRENCES :

https://support.cpanel.net/hc/en-us/articles/40311033698327-Security-CVE-2026-29201-cPanel-WHM-WP2-Security-Update-May-08-2026

https://support.cpanel.net/hc/en-us/articles/40311426610327-Security-CVE-2026-29202-cPanel-WHM-WP2-Security-Update-May-08-2026

https://support.cpanel.net/hc/en-us/articles/40311543760407-Security-CVE-2026-29203-cPanel-WHM-WP2-Security-Update-May-08-2026

https://nvd.nist.gov/vuln/detail/CVE-2026-29201

https://nvd.nist.gov/vuln/detail/CVE-2026-29202

https://nvd.nist.gov/vuln/detail/CVE-2026-29203

Vous devriez également aimer

Exécution de code arbitraire et corruption de données dans Google Chrome

Contournement d’authentification dans Cisco WLC