cPanel 和 WHM 发布修复程序应对三个新漏洞 —— 请立即更新

cPanel 已发布更新，以修复 cPanel 和 Web 主机管理器（WHM）中的三个漏洞。这些漏洞若被利用，可能导致权限提升、代码执行以及拒绝服务攻击。

漏洞详情如下：

• CVE - 2026 - 29201（CVSS 评分：4.3）：在 “feature::LOADFEATUREFILE” 管理命令调用中，对功能文件名的输入验证不足，可能导致任意文件读取。

• CVE - 2026 - 29202（CVSS 评分：8.8）：在 “create_user API” 调用中，对 “plugin” 参数的输入验证不足，可能导致以已认证账户的系统用户身份执行任意 Perl 代码。

• CVE - 2026 - 29203（CVSS 评分：8.8）：存在不安全的符号链接处理漏洞，用户可利用 chmod 修改任意文件的访问权限，进而导致拒绝服务攻击或可能的权限提升。

以下版本已修复这些漏洞：

• cPanel 和 WHM：11.136.0.9 及更高版本、11.134.0.25 及更高版本、11.132.0.31 及更高版本、11.130.0.22 及更高版本、11.126.0.58 及更高版本、11.124.0.37 及更高版本、11.118.0.66 及更高版本、11.110.0.116 及更高版本、11.110.0.117 及更高版本、11.102.0.41 及更高版本、11.94.0.30 及更高版本、11.86.0.43 及更高版本。

• WP Squared：11.136.1.10 及更高版本。

cPanel 已发布 110.0.114 版本，供仍在使用 CentOS 6 或 CloudLinux 6 的用户直接更新。建议用户更新到最新版本以获得最佳保护。

尽管尚无证据表明这些漏洞已在实际环境中被利用，但就在此次披露的几天前，该产品中的另一个关键漏洞（CVE - 2026 - 41940）已被威胁行为者当作零日漏洞利用，用于传播 Mirai 僵尸网络变体和一款名为 Sorry 的勒索软件。