أصدرت cPanel تحديثات لمعالجة ثلاث نقاط ضعف في cPanel وWeb Host Manager (WHM) والتي يمكن استغلالها لتحقيق تصعيد الامتيازات وتنفيذ التعليمات البرمجية ورفض الخدمة.
قائمة نقاط الضعف هي كما يلي –
- CVE-2026-29201 (درجة CVSS: 4.3) – التحقق من صحة الإدخال غير كافٍ لاسم ملف الميزة في استدعاء adminbin “feature::LOADFEATUREFILE” مما قد يؤدي إلى قراءة عشوائية للملف.
- CVE-2026-29202 (درجة CVSS: 8.8) – التحقق غير الكافي من صحة الإدخال لمعلمة “المكون الإضافي” في استدعاء “create_user API” الذي قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية لـ Perl نيابة عن مستخدم نظام الحساب الذي تمت مصادقته بالفعل.
- CVE-2026-29203 (درجة CVSS: 8.8) – ثغرة أمنية غير آمنة في التعامل مع الارتباط الرمزي والتي تسمح للمستخدم بتعديل أذونات الوصول لملف عشوائي باستخدام chmod، مما يؤدي إلى رفض الخدمة أو تصعيد محتمل للامتيازات.
تم تصحيح العيوب في الإصدارات التالية –
- لوحة التحكم وWHM –
- 11.136.0.9 وما فوق
- 11.134.0.25 وما فوق
- 11.132.0.31 وما فوق
- 11.130.0.22 وما فوق
- 11.126.0.58 وما فوق
- 11.124.0.37 وما فوق
- 11.118.0.66 وما فوق
- 11.110.0.116 وما فوق
- 11.110.0.117 وما فوق
- 11.102.0.41 وما فوق
- 11.94.0.30 وما فوق
- 11.86.0.43 وما فوق
- تربيع الفسفور الأبيض –
أصدرت cPanel الإصدار 110.0.114 كتحديث مباشر للعملاء الذين ما زالوا يستخدمون CentOS 6 أو CloudLinux 6. ويُنصح المستخدمون بالتحديث إلى أحدث الإصدارات للحصول على الحماية المثلى.
على الرغم من عدم وجود دليل على استغلال الثغرات الأمنية بشكل فعلي، إلا أن الكشف يأتي بعد أيام من استخدام جهات التهديد لخلل خطير آخر في المنتج (CVE-2026-41940) كسلاح يوم صفر لتقديم متغيرات Mirai botnet وسلالة من برامج الفدية تسمى آسف.
