文章总结： cPanel披露三个高危漏洞CVE-2026-29201（路径遍历导致任意文件读取）、CVE-2026-29202（Perl代码注入引发远程代码执行）和CVE-2026-29203（符号链接滥用造成拒绝服务），影响cPanel/WHM及WPSquared平台。漏洞已于5月8日修复，攻击者可利用其读取敏感文件、控制服务器或中断服务。管理员须立即升级至11.136.0.9等指定版本以消除风险。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,解决方案,WEB安全,云安全

cPanel 和 WHM 的新漏洞可导致代码执行和拒绝服务攻击

原创

ZM ZM

暗镜

2026年5月13日 06:01 北京

在小说阅读器读本章

去阅读

cPanel 披露了三个严重安全漏洞，编号分别为 CVE-2026-29201、CVE-2026-29202 和 CVE-2026-29203，这些漏洞会影响其广泛部署的 cPanel & WHM 网络托管控制面板和 WP Squared (WP2) 平台。

这些漏洞已于 2026 年 5 月 8 日修复，但会使服务器面临任意文件读取、Perl 代码注入和拒绝服务 (DoS) 攻击的风险，因此对于托管服务提供商和服务器管理员来说，立即进行修补至关重要。

今年 4 月，另一个 cPanel 漏洞（编号为 CVE-2026-41940）被利用，攻击者可以完全绕过登录机制。

CVE-2026-29201：通过路径遍历进行任意文件读取

第一个漏洞存在于feature::LOADFEATUREFILEadminbin 调用中，该调用未能充分验证功能文件名参数。攻击者可以传递相对路径作为参数，从而导致服务器上的任意文件变为全局可读。

这种路径遍历漏洞可能会暴露敏感的系统文件，包括配置文件、凭据和私钥——使攻击者能够立足，进行更深层次的入侵。

CVE-2026-29202：用户创建 API 中的 Perl 代码注入漏洞

第二个也是最严重的漏洞是create_userAPI 调用中发现的 Perl 代码注入漏洞，具体与某个plugin参数有关。当未经处理的输入到达该参数时，攻击者可以注入并执行服务器上的任意 Perl 代码。此类远程代码执行 (RCE) 漏洞风险极高，可能导致服务器完全被控制、数据泄露，以及在托管环境中部署恶意软件或后门。

CVE-2026-29203：不安全的符号链接处理

第三个缺陷源于不安全的符号链接处理，它允许用户访问chmod系统上的任意文件。

这种配置错误可被利用来扰乱关键系统运行，导致拒绝服务，并且还可以与其他漏洞结合使用，以提升权限并获得未经授权的管理访问权限。

受影响的版本和已修复的版本

这三个漏洞影响的 cPanel 和 WHM 版本范围相同。cPanel 已针对所有活跃分支发布了补丁。

管理员应更新至以下版本之一或更高版本：11.136.0.9、11.134.0.25、11.132.0.31、11.130.0.22、11.126.0.58、11.124.0.37、11.118.0.66、11.110.0.116、11.110.0.117、11.102.0.41、11.94.0.30 或 11.86.0.43。WP Squared 用户应升级至 11.136.1.10 或更高版本。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《cPanel 和 WHM 的新漏洞可导致代码执行和拒绝服务攻击》