文章总结： cPanel发布安全更新修复三个高危漏洞CVE-2026-29201（任意文件读取）、CVE-2026-29202（代码执行）和CVE-2026-29203（权限提升/拒绝服务），影响多个cPanel/WHM版本。建议用户立即升级至11.136.0.9等指定版本以获得保护，尤其需关注WPSquared及CentOS6用户的特殊更新要求。 综合评分： 87 文章分类： 漏洞预警,解决方案,WEB安全,安全运营,应用安全

cPanel 和 WHM 发布修复程序，修复三个新漏洞 — 立即修补

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月10日 12:53 北京

在小说阅读器读本章

去阅读

cPanel 发布了更新，以解决 cPanel 和 Web Host Manager (WHM) 中的三个漏洞，这些漏洞可能被利用来实现权限提升、代码执行和拒绝服务攻击。

漏洞列表如下：

• CVE-2026-29201（CVSS 评分：4.3）- adminbin 调用“feature::LOADFEATUREFILE”时对特征文件名的输入验证不足，可能导致任意文件读取。
• CVE-2026-29202（CVSS 评分：8.8）- “create_user API” 调用中“plugin”参数的输入验证不足，可能导致代表已通过身份验证的帐户的系统用户执行任意 Perl 代码。
• CVE-2026-29203（CVSS 评分：8.8）- 一个不安全的符号链接处理漏洞，允许用户使用 chmod 修改任意文件的访问权限，从而导致拒绝服务或可能的权限提升。

以下版本已修复了这些缺陷——

• cPanel 和 WHM –
• 11.136.0.9 及更高版本
• 11.134.0.25 及更高版本
• 11.132.0.31 及更高版本
• 11.130.0.22 及更高版本
• 11.126.0.58 及更高版本
• 11.124.0.37 及更高版本
• 11.118.0.66 及更高版本
• 11.110.0.116 及更高版本
• 11.110.0.117 及更高版本
• 11.102.0.41 及更高版本
• 11.94.0.30 及更高版本
• 11.86.0.43 及更高版本
• WP Squared –
• 11.136.1.10 及更高版本

cPanel 已发布 110.0.114 版本，直接面向仍在使用 CentOS 6 或 CloudLinux 6 的客户进行更新。建议用户更新至最新版本以获得最佳保护。

虽然没有证据表明这些漏洞已被实际利用，但此次披露发生在产品中的另一个严重缺陷（CVE-2026-41940）被威胁行为者用作零日漏洞，以传播 Mirai 僵尸网络变种和名为 Sorry 的勒索软件几天之后。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《cPanel 和 WHM 发布修复程序，修复三个新漏洞 — 立即修补》