As atualizações fecham três vulnerabilidades em cPanel e Web Host Manager que podem levar a leitura arbitrária de arquivo, execução de código sob a conta autenticada e negação de serviço ou escalonamento de privilégio por tratamento inseguro de link simbólico.
| Componente | cPanel e Web Host Manager, incluindo chamadas feature::LOADFEATUREFILE, create_user API e fluxo de alteração de permissões via chmod. |
| Vetor | Entrada insuficientemente validada em nome de arquivo de recurso, parâmetro plugin e tratamento inseguro de link simbólico; a falha de execução exige conta já autenticada. |
| Impacto | CVE-2026-29201 permite leitura arbitrária de arquivo; CVE-2026-29202 permite execução arbitrária de código Perl pelo usuário de sistema da conta autenticada; CVE-2026-29203 permite modificar permissões de arquivo arbitrário, com negação de serviço ou possível escalonamento de privilégio. |
| Prioridade | Aplicar as atualizações do cPanel e WHM, validar servidores legados em CentOS 6 ou CloudLinux 6 com a versão 110.0.114 e revisar logs de API, adminbin e operações de permissão. |
| Versões | A versão 110.0.114 foi disponibilizada como atualização direta para clientes que ainda operam em CentOS 6 ou CloudLinux 6; demais instalações devem migrar para as versões mais recentes disponíveis. |
| Artefatos | Identificadores confirmados: CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203; não há evidência informada de exploração ativa dessas três falhas. |
O cPanel publicou atualizações para corrigir três vulnerabilidades no cPanel e no Web Host Manager, com impactos distintos sobre confidencialidade, integridade e disponibilidade. A primeira falha, CVE-2026-29201, recebeu pontuação CVSS 4.3 e está associada à validação insuficiente do nome de arquivo de recurso na chamada administrativa feature::LOADFEATUREFILE, condição que pode resultar em leitura arbitrária de arquivo. A segunda, CVE-2026-29202, tem CVSS 8.8 e envolve validação insuficiente do parâmetro plugin na chamada create_user API, permitindo execução arbitrária de código Perl em nome do usuário de sistema da conta já autenticada. A terceira, CVE-2026-29203, também com CVSS 8.8, decorre de tratamento inseguro de link simbólico e permite que um usuário altere permissões de um arquivo arbitrário por meio de chmod, com resultado possível de negação de serviço ou escalonamento de privilégio.
A natureza das três falhas exige atenção de operadores de hospedagem, provedores gerenciados e times responsáveis por painéis multiusuário. cPanel e WHM normalmente concentram criação de contas, provisionamento de recursos, plugins e permissões de arquivos em ambientes nos quais usuários distintos compartilham a mesma infraestrutura. Em tal modelo, uma leitura indevida de arquivo, a execução de Perl com o usuário de sistema de uma conta ou uma alteração de permissão fora do escopo esperado não são problemas isolados: esses eventos podem expor material sensível, quebrar isolamento operacional, afetar disponibilidade de aplicações hospedadas ou abrir caminho para abuso posterior. Até a publicação da correção, não havia evidência informada de exploração ativa dessas três vulnerabilidades, mas a superfície merece correção imediata porque o produto já vinha sendo observado em campanhas recentes envolvendo outra falha crítica, CVE-2026-41940, usada como zero day para entregar variantes da botnet Mirai e o ransomware Sorry.
CVE-2026-29201 está ligada à chamada feature::LOADFEATUREFILE dentro do mecanismo adminbin. A condição vulnerável é a validação insuficiente do nome do arquivo de recurso. Em um fluxo seguro, o nome fornecido deveria ser restrito ao conjunto de arquivos esperados pela funcionalidade, sem permitir caminho alternativo, metacaracteres ou referência a objetos fora do diretório controlado. A falha permite que a entrada influencie qual arquivo será carregado ou lido, produzindo leitura arbitrária de arquivo. O impacto real depende do privilégio efetivo do processo que atende a chamada e dos arquivos alcançáveis por esse contexto, mas o risco técnico central é a quebra da barreira entre um recurso solicitado pela interface e um arquivo que não deveria ser exposto ao solicitante.
CVE-2026-29202 afeta a chamada create_user API e envolve o parâmetro plugin. O dado crítico é a pré-condição de autenticação: a execução arbitrária de código Perl ocorre em nome do usuário de sistema da conta já autenticada, e não como execução anônima. Ainda assim, em plataformas de hospedagem, uma conta autenticada pode ser suficiente para acionar impacto material, especialmente quando o painel permite criação, automação ou integração com plugins. O problema nasce quando o valor de plugin não é reduzido a uma referência estritamente permitida e passa a controlar, direta ou indiretamente, o código Perl executado pelo fluxo de criação de usuário. O resultado confirmado é execução arbitrária no escopo da conta, com potencial de manipular arquivos, processos ou dados acessíveis a esse usuário de sistema.
CVE-2026-29203 é uma vulnerabilidade de manipulação insegura de link simbólico em fluxo que altera permissões usando chmod. A condição perigosa ocorre quando o sistema decide qual objeto terá permissões modificadas sem neutralizar a possibilidade de um link simbólico redirecionar a operação para outro arquivo. Se um usuário consegue posicionar ou influenciar um link simbólico dentro do caminho processado, a operação de permissão pode atingir um arquivo arbitrário em vez do alvo pretendido. Alterações indevidas de permissões podem negar acesso legítimo a componentes necessários para serviços, expor arquivos que deveriam permanecer restritos ou criar uma condição utilizável para escalonamento de privilégio, dependendo do arquivo atingido e do contexto em que o chmod é executado.
A superfície exposta inclui servidores que executam cPanel e WHM com as rotinas vulneráveis acessíveis a usuários, administradores ou integrações autenticadas. Em ambientes de hospedagem compartilhada, o risco não se limita ao painel como aplicação administrativa; ele alcança contas de sistema, diretórios de usuários, plugins, automações e rotinas de provisionamento. A falha de leitura arbitrária interessa especialmente a arquivos de configuração, metadados de conta, chaves locais, credenciais armazenadas de forma inadequada e outros arquivos legíveis pelo processo envolvido. A falha de execução de Perl interessa a qualquer instalação em que usuários autenticados possam acionar a API afetada e em que a conta possua acesso a dados ou scripts de aplicações hospedadas.
Instalações legadas merecem verificação separada. O cPanel disponibilizou 110.0.114 como atualização direta para clientes que ainda estão em CentOS 6 ou CloudLinux 6, enquanto a orientação geral é atualizar para as versões mais recentes para obter proteção adequada. Ambientes antigos costumam acumular dependências de compatibilidade, plugins mantidos por terceiros e exceções operacionais que dificultam atualização uniforme. Isso aumenta a importância de inventariar servidores por versão do painel, sistema operacional, plugins instalados, contas com acesso ao WHM, integrações que chamam APIs de criação de usuário e scripts administrativos que manipulam permissões de arquivos.
A presença de uma correção específica para sistemas baseados em CentOS 6 e CloudLinux 6 indica que provedores ainda presos a esses ambientes precisam tratar a atualização como tarefa de infraestrutura, não apenas como alteração de painel. A validação deve confirmar que o pacote aplicado realmente substituiu os componentes vulneráveis, que serviços relacionados foram reiniciados quando necessário e que automações externas não continuam chamando caminhos antigos ou wrappers locais. Em servidores com múltiplos tenants, também é prudente revisar contas que tiveram mudanças recentes em arquivos de recurso, criação de usuários ou permissões fora de janelas administrativas conhecidas.
- Servidores cPanel e WHM que exponham a chamada
feature::LOADFEATUREFILEa fluxos administrativos ou autenticados. - Integrações ou usuários autenticados capazes de acionar
create_user APIcom o parâmetroplugin. - Rotinas que aplicam
chmodsobre caminhos controláveis por usuário ou atravessáveis por link simbólico. - Instalações legadas em CentOS 6 ou CloudLinux 6 que exigem aplicação da versão
110.0.114.
A investigação deve começar por eventos de atualização e por trilhas de auditoria do WHM, APIs e chamadas administrativas. Para CVE-2026-29201, procure chamadas incomuns a feature::LOADFEATUREFILE, principalmente com nomes de arquivo que não se pareçam com recursos esperados, contenham separadores de caminho, referências relativas ou padrões fora da nomenclatura normal da instalação. A ausência de exploração ativa informada não elimina a necessidade de revisar eventos anteriores à aplicação do patch, porque tentativas de leitura arbitrária podem deixar poucos rastros se o sistema registrar apenas a operação de alto nível. Quando houver logs de acesso, correlacione conta, endereço IP, horário, resposta da chamada e arquivos acessados no mesmo intervalo.
Para CVE-2026-29202, o foco é qualquer chamada create_user API com valor atípico no parâmetro plugin, criação de usuário fora de processos de provisionamento esperados, execução de Perl iniciada por contas que normalmente não executam automação e alterações subsequentes em arquivos da conta autenticada. A execução ocorre com o usuário de sistema da própria conta, portanto a detecção deve incluir telemetria de endpoint ou EDR quando disponível, auditoria de processos, criação de arquivos, modificação de scripts web, tarefas agendadas e conexões de saída iniciadas logo após chamadas de API. Não há hash, payload ou indicador de rede confirmado para essas falhas; a abordagem correta é buscar comportamento incompatível com a rotina administrativa normal.
Para CVE-2026-29203, o hunting deve combinar auditoria de filesystem com logs de operações de permissão. Mudanças de modo em arquivos sensíveis, alterações de permissão sobre objetos fora do diretório de uma conta, criação ou substituição de links simbólicos imediatamente antes de chmod e quebras súbitas de disponibilidade em aplicações hospedadas são sinais úteis. Em servidores Linux, dados de auditoria do kernel, trilhas de comandos administrativos, snapshots de permissões e monitoramento de integridade podem mostrar se um arquivo teve seu modo alterado por um fluxo inesperado. A análise deve preservar a linha do tempo, porque o abuso de link simbólico depende da ordem entre criação do link, resolução do caminho e aplicação da permissão.
- Chamadas a
feature::LOADFEATUREFILEcom nomes de arquivo fora do padrão, caminhos relativos ou caracteres de travessia. - Uso incomum de
create_user APIcom parâmetroplugindiferente dos plugins previstos na instalação. - Processos
perliniciados por usuários de sistema de contas logo após operações de API. - Alterações de permissão via
chmodem arquivos fora do escopo da conta solicitante. - Criação recente de links simbólicos seguida por mudança de permissão ou indisponibilidade de serviço.
A ação principal é aplicar as atualizações do cPanel e WHM em todos os servidores afetados e confirmar a versão efetivamente instalada. Servidores ainda baseados em CentOS 6 ou CloudLinux 6 devem receber a atualização direta 110.0.114; demais ambientes devem ser levados às versões mais recentes disponíveis para reduzir exposição a falhas já corrigidas e a dependências antigas. Depois da atualização, reinicie serviços exigidos pelo fornecedor, valide o funcionamento do WHM, teste fluxos de criação de usuário e confirme que plugins legítimos continuam operando sem exceções locais. Em ambientes com frota grande, trate a correção por inventário: identifique nós, versão do painel, sistema operacional, plugins, contas administrativas e janelas de manutenção.
Além do patch, reduza a superfície de abuso. Restrinja o acesso ao WHM e às APIs administrativas a redes, identidades e integrações necessárias; remova plugins não utilizados; revise permissões de contas que executam automação; e monitore chamadas sensíveis durante o período posterior à atualização. Para a falha de execução de Perl, valide se contas autenticadas com acesso à API têm privilégios compatíveis com sua função real. Para a falha de link simbólico, reforce controles que impedem usuários de influenciar caminhos processados por rotinas privilegiadas, revise configurações de isolamento de contas e compare permissões atuais com um baseline conhecido. Se houver sinal de exploração, preserve logs antes de rotacioná-los, capture metadados de filesystem, isole a conta afetada e investigue arquivos modificados, processos iniciados e conexões de saída.
A validação final deve provar que o risco foi reduzido e não apenas que um pacote foi instalado. Execute consultas de versão em todos os servidores, confira se não há hosts fora do inventário, revise falhas de atualização, confirme que automações de provisionamento não quebraram controles de validação e mantenha alertas para os padrões descritos em hunting. Como CVE-2026-41940 já foi explorada para entrega de variantes Mirai e do ransomware Sorry em outro episódio envolvendo o produto, a operação defensiva deve manter atenção a tentativas contra cPanel e WHM mesmo após está rodada de correções. Esse histórico não demonstra exploração das três novas CVEs, mas reforça que painéis de hospedagem são alvos valiosos por concentrarem credenciais, arquivos de sites, automação de contas e controle operacional.
- Atualizar cPanel e WHM e verificar a versão instalada em todos os servidores.
- Aplicar
110.0.114nos ambientes ainda baseados em CentOS 6 ou CloudLinux 6. - Restringir acesso ao WHM, APIs administrativas e integrações de criação de usuário.
- Revisar plugins instalados e remover componentes sem uso operacional.
- Auditar permissões de arquivos, links simbólicos recentes e execuções de
perlapós chamadas de API. - Preservar logs e metadados de filesystem se houver indicação de leitura, execução ou alteração de permissões fora do padrão.
0 Comentários