Lỗ hổng CVE cPanel cực kỳ nghiêm trọng

cPanel vừa công bố ba lỗ hổng CVE nghiêm trọng ảnh hưởng đến cPanel & WHM và nền tảng WP Squared (WP2). Các lỗi được vá vào ngày 08/05/2026, bao gồm CVE-2026-29201, CVE-2026-29202 và CVE-2026-29203, với tác động từ đọc tệp tùy ý, chèn mã Perl đến tấn công mạng gây từ chối dịch vụ (DoS).

Với đặc thù triển khai rộng trong môi trường lưu trữ web, đây là nhóm lỗ hổng CVE cần được ưu tiên xử lý ngay. Thông tin tham chiếu có thể đối chiếu thêm tại NVD và tài liệu cập nhật của cPanel.

Lỗ hổng CVE Trong cPanel & WHM

Ba lỗ hổng CVE này ảnh hưởng trực tiếp đến cơ chế quản trị và xử lý yêu cầu trong cPanel. Bề mặt tấn công trải rộng từ đọc dữ liệu nhạy cảm đến thực thi mã từ xa, làm tăng đáng kể nguy cơ bảo mật cho hệ thống dùng chung.

CVE-2026-29201: Đọc tệp tùy ý qua feature::LOADFEATUREFILE

Lỗi đầu tiên nằm trong lời gọi adminbin feature::LOADFEATUREFILE. Thành phần này không kiểm tra đầy đủ tham số tên tệp tính năng, cho phép kẻ tấn công truyền vào một relative path.

Khi khai thác thành công, một tệp bất kỳ trên máy chủ có thể bị làm world-readable. Đây là dạng path traversal có thể dẫn đến lộ các tệp cấu hình, thông tin xác thực và khóa riêng tư. Trong bối cảnh lỗ hổng CVE trên hệ thống lưu trữ, điều này thường là điểm khởi đầu cho xâm nhập sâu hơn.

CVE-2026-29202: Perl code injection trong create_user

Lỗi nghiêm trọng nhất nằm trong API create_user, cụ thể ở tham số plugin. Khi đầu vào không được làm sạch đúng cách, kẻ tấn công có thể chèn và thực thi mã Perl tùy ý trên máy chủ.

Đây là một dạng remote code execution có mức rủi ro cao nhất, vì có thể dẫn đến chiếm quyền điều khiển máy chủ, đánh cắp dữ liệu và triển khai backdoor trong môi trường được lưu trữ. Với lỗ hổng CVE kiểu này, hệ thống chưa vá có thể bị kiểm soát hoàn toàn.

CVE-2026-29203: Xử lý symlink không an toàn

Lỗ hổng thứ ba xuất phát từ việc xử lý symlink không an toàn, cho phép một người dùng thay đổi quyền chmod của một tệp bất kỳ trên hệ thống.

Hành vi này có thể làm gián đoạn các tiến trình quan trọng, gây điều kiện DoS và, trong một số chuỗi khai thác, hỗ trợ leo thang đặc quyền hoặc truy cập quản trị trái phép. Đây cũng là một lỗ hổng CVE đáng chú ý vì có thể được kết hợp với các lỗi khác để mở rộng tác động.

Ảnh Hưởng Hệ Thống Và Rủi Ro Bảo Mật

Ba lỗ hổng CVE cùng tồn tại trên cùng dải phiên bản cPanel & WHM, tạo ra rủi ro lớn cho môi trường shared hosting. Khi nhiều tenant cùng vận hành trên một máy chủ, một điểm yếu ở tầng quản trị có thể nhanh chóng ảnh hưởng đến toàn bộ hệ thống.

CVE-2026-29202 có thể dẫn tới thực thi mã trực tiếp, còn CVE-2026-29203 mở đường cho leo thang đặc quyền. Với các máy chủ chưa cập nhật, nguy cơ bao gồm:

• Xâm nhập trái phép vào máy chủ lưu trữ.
• Đánh cắp dữ liệu từ tệp cấu hình và khóa riêng tư.
• Chiếm quyền điều khiển dịch vụ quản trị.
• DoS làm gián đoạn vận hành.
• Di chuyển ngang giữa các tài khoản được lưu trữ trên cùng hạ tầng.

Trong ngữ cảnh lỗ hổng CVE của nền tảng quản trị hosting, việc trì hoãn bản vá có thể khiến toàn bộ máy chủ trở thành mục tiêu cho khai thác tự động hoặc khai thác thủ công.

Phiên Bản Bị Ảnh Hưởng Và Bản Vá Bảo Mật

cPanel đã phát hành bản vá bảo mật cho tất cả nhánh đang được hỗ trợ. Quản trị viên cần cập nhật lên một trong các phiên bản sau hoặc cao hơn:

• 11.136.0.9
• 11.134.0.25
• 11.132.0.31
• 11.130.0.22
• 11.126.0.58
• 11.124.0.37
• 11.118.0.66
• 11.110.0.116 hoặc 11.110.0.117
• 11.102.0.41
• 11.94.0.30
• 11.86.0.43

Người dùng WP Squared cần nâng cấp lên 11.136.1.10 hoặc cao hơn. Đây là bước bắt buộc để đóng các lỗ hổng CVE đã được xác nhận.

Trường Hợp CentOS 6 Hoặc CloudLinux 6

Trên CentOS 6 hoặc CloudLinux 6, có thể áp dụng bản cập nhật trực tiếp lên 110.0.114 bằng cách chỉnh tier nâng cấp trước:

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf

Sau đó, chạy script cập nhật cưỡng bức để áp dụng bản vá bảo mật:

/scripts/upcp --force

Hoàn tất quá trình bằng cách xác minh phiên bản cài đặt hiện tại:

/usr/local/cpanel/cpanel -V

Phiên bản trả về phải khớp với một trong các bản đã vá ở trên. Nếu không, lỗ hổng CVE vẫn còn tồn tại trên hệ thống.

Kiểm Tra Sau Vá Và Giám Sát Khai Thác

Sau khi cập nhật, quản trị viên nên đối chiếu trạng thái phiên bản và kiểm tra nhật ký máy chủ để phát hiện dấu hiệu khai thác. Điều này đặc biệt quan trọng với lỗ hổng CVE liên quan đến remote code execution và thay đổi quyền tệp.

Trong môi trường thực tế, cần ưu tiên rà soát các hoạt động bất thường liên quan đến truy cập API quản trị, thay đổi quyền tệp và hành vi đọc tệp ngoài dự kiến. Nếu phát hiện dấu hiệu khả nghi, cần coi đó là chỉ báo của nguy cơ bảo mật trên hệ thống cPanel chưa được xử lý đúng cách.

Vì CVE-2026-29202 có khả năng thực thi mã và CVE-2026-29203 có thể hỗ trợ leo thang quyền, các lỗ hổng CVE này tạo ra rủi ro đáng kể cho mọi máy chủ hosting dùng chung. Việc áp dụng cập nhật bản vá ngay lập tức là yêu cầu bắt buộc đối với quản trị viên hệ thống.