Vakavia haavoittuvuuksia cPanel- ja WHM-hallintaohjelmistossa
Kyberturvallisuuskeskus on saanut tiedon cPanel- ja WHM-ohjelmistojen uusista haavoittuvuuksista, jotka vaarantavat ohjelmistoa suorittavan tietojenkäsittely-ympäristön. Päivitys on julkaistu perjantai-iltana 8.5. ja sen asentamista suositellaan välittömästi.
Haavoittuvuuden yhteenveto
Haavoittuvuuden kohde
WebPros International cPanel ja WHM. Korjauksen sisältävät versiot:
- 11.136.0.9 (EDGE, CURRENT)
- 11.136.1.10 (WP2 EDGE, WP2 RELEASE)
- 11.134.0.25 (RELEASE, STABLE, LTS)
- 11.132.0.31
- 11.130.0.22
- 11.126.0.58
- 11.124.0.37
- 11.118.0.66
- 11.110.0.117
- 11.110.0.116 (cl6110)
- 11.102.0.41
- 11.94.0.30
- 11.86.0.43
Ohjelmistoa käyttävät yleensä webhotellipalveluntarjoajat.
Mistä on kysymys?
cPanel- ja WHM-ohjelmistoista on korjattu kolme haavoittuvuutta. Haavoittuvuudet mahdollistavat käyttöoikeuksien korottamisen ja mahdollisesti haitallisen koodin suorittamisen ohjelmiston isäntäkoneessa.
Korjatut haavoittuvuudet:
- CVE-2026-29201: Tunnistautunut käyttäjä voi haavoittuvuuden avulla lukea minkä tahansa tiedoston
- CVE-2026-29202: Koodinsyöttöhaavoittuvuus mahdollistaa käyttöoikeuksien korottamisen
- CVE-2026-29203: Symbolisen linkin käsittelyvirhe mahdollistaa mielivaltaisen tiedoston käyttöoikeuksien muuttamisen, mahdollistan palvelunestotilan sekä mahdollisen käyttöoikeuksien korottamisen.
Mitä voin tehdä?
Korjaus ja lisätiedot on julkaistu 8. toukokuuta 2026 noin kello 19 Suomen aikaa.
Korjaus on saatavilla cPanel-ohjelmiston automaattisen päivityskanavan kautta. Ohjelmiston valmistaja suosittelee vahvasti käynnistämään päivityksen käsin komennolla `/scripts/upcp --force`.