文章总结： cPanel发布安全更新修复三个新漏洞CVE-2026-29201（任意文件读取）、CVE-2026-29202（认证后代码执行）和CVE-2026-29203（权限提升/拒绝服务），影响cPanel/WHM和WPSquared多个版本。漏洞涉及输入验证不充分和符号链接处理问题，最高CVSS评分8.8。官方已提供修复版本列表，建议用户立即升级至最新版本以防范潜在攻击，尽管暂无在野利用证据。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,解决方案,WEB安全,安全运营

cPanel 修复三个新漏洞

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年5月11日 17:52 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

cPanel发布更新，修复了位于 cPanel 和 WHM 中的三个新漏洞（CVE-2026-29201、CVE-2026-29202和CVE-2026-29203），它们可导致攻击者实现提权、代码执行和拒绝服务。

这三个漏洞的简述如下：

• CVE-2026-29201（CVSS 4.3）是因为 adminbin 调用 “feature:::LOADFEATUREFILE” 中特征文件名称的输入验证不充分导致的，可造成任意文件读后果。
• CVE-2026-29202（CVSS 8.8）：由 “create_user API” 调用中的 “plugin” 参数的输入验证不充分造成的，可导致以已经认证账号的系统用户的名义执行任意 Perl 代码。
• CVE-2026-29203（CVSS 8.8）：是一个不安全的符号处理漏洞，可导致用户使用 chmod 修改任意文件的访问权限，导致拒绝服务或可能的权限提升。

这些漏洞已在如下版本中修复：

(1)  cPanel 和 WHM：

• 11.136.0.9及更高版本
• 11.134.0.25 及更高版本
• 11.132.0.31 及更高版本
• 11.130.0.22 及更高版本
• 11.126.0.58 及更高版本
• 11.124.0.37 及更高版本
• 11.118.0.66 及更高版本
• 11.110.0.116 及更高版本
• 11.110.0.117 及更高版本
• 11.102.0.41 及更高版本
• 11.94.0.30 及更高版本
• 11.86.0.43 及更高版本

(2)  WP Squared:

• 11.136.1.10及更高版本

cPanel 已发布版本110.0.114，是为仍然运行 CentOS 6 或 CloudLinux6 的客户提供的直接更新。建议用户更新至最新版本，获得最优防护。

虽然目前并未有证据表明这两个漏洞已遭在野利用，但前不久 cPanel 中的一个严重漏洞CVE-2026-41940在修复前已遭利用，被用于传播 Mirai 僵尸网络变体以及遭勒索团伙 Sorry 利用。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

刚刚，cPanel紧急修复影响所有受支持版本的认证漏洞

cPanel 被指存在 2FA 绕过漏洞

原文链接

https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《cPanel 修复三个新漏洞》