cPanel ने cPanel और वेब होस्ट मैनेजर (WHM) में तीन कमजोरियों को दूर करने के लिए अपडेट जारी किए हैं जिनका फायदा विशेषाधिकार वृद्धि, कोड निष्पादन और सेवा से इनकार करने के लिए किया जा सकता है।
कमजोरियों की सूची इस प्रकार है –
- सीवीई-2026-29201 (सीवीएसएस स्कोर: 4.3) – “फीचर::LOADFEATUREFILE” एडमिनबिन कॉल में फीचर फ़ाइल नाम का अपर्याप्त इनपुट सत्यापन जिसके परिणामस्वरूप मनमाने ढंग से फ़ाइल पढ़ी जा सकती है।
- सीवीई-2026-29202 (सीवीएसएस स्कोर: 8.8) – “create_user API” कॉल में “प्लगइन” पैरामीटर का अपर्याप्त इनपुट सत्यापन जिसके परिणामस्वरूप पहले से प्रमाणित खाते के सिस्टम उपयोगकर्ता की ओर से मनमाने ढंग से पर्ल कोड निष्पादन हो सकता है।
- सीवीई-2026-29203 (सीवीएसएस स्कोर: 8.8) – एक असुरक्षित सिम्लिंक हैंडलिंग भेद्यता जो उपयोगकर्ता को chmod का उपयोग करके एक मनमानी फ़ाइल की एक्सेस अनुमतियों को संशोधित करने की अनुमति देती है, जिसके परिणामस्वरूप सेवा से इनकार या संभावित विशेषाधिकार वृद्धि होती है।
निम्नलिखित संस्करणों में कमियों को दूर किया गया है –
- cPanel और WHM –
- 11.136.0.9 और उच्चतर
- 11.134.0.25 और उच्चतर
- 11.132.0.31 और उच्चतर
- 11.130.0.22 और उच्चतर
- 11.126.0.58 और उच्चतर
- 11.124.0.37 और उच्चतर
- 11.118.0.66 और उच्चतर
- 11.110.0.116 और उच्चतर
- 11.110.0.117 और उच्चतर
- 11.102.0.41 और उच्चतर
- 11.94.0.30 और उच्चतर
- 11.86.0.43 और उच्चतर
- WP चुकता –
cPanel ने उन ग्राहकों के लिए सीधे अपडेट के रूप में 110.0.114 जारी किया है जो अभी भी CentOS 6 या CloudLinux 6 पर हैं। उपयोगकर्ताओं को इष्टतम सुरक्षा के लिए नवीनतम संस्करणों में अपडेट करने की सलाह दी जाती है।
हालांकि इस बात का कोई सबूत नहीं है कि कमजोरियों का जंगली तौर पर फायदा उठाया गया है, लेकिन यह खुलासा उत्पाद (सीवीई-2026-41940) में एक और गंभीर खामी के कुछ दिनों बाद आया है, जिसे खतरे वाले अभिनेताओं द्वारा मिराई बॉटनेट वेरिएंट और सॉरी नामक रैंसमवेयर स्ट्रेन देने के लिए शून्य-दिन के रूप में हथियार बनाया गया है।
