A equipa responsável pelo painel de controlo cPanel e WHM começou a distribuir atualizações de segurança urgentes para corrigir três novas vulnerabilidades graves identificadas na sua plataforma. Estas falhas, descobertas de forma responsável por investigadores externos, afetam múltiplas versões do sistema e exigem a atenção imediata dos administradores para evitar potenciais ataques às infraestruturas web.
Segundo o boletim de segurança oficial do cPanel, as correções já se encontram disponíveis e recomendam-se intervenções manuais para os sistemas que não tenham as atualizações automáticas ativadas.
Três vulnerabilidades sob o radar
O primeiro problema, registado como CVE-2026-29201, consiste numa vulnerabilidade de leitura arbitrária de ficheiros. O erro reside na chamada administrativa responsável por carregar funcionalidades do sistema, que não valida adequadamente os nomes dos ficheiros solicitados. Esta falha permite que um utilizador mal-intencionado introduza um caminho relativo para aceder e ler qualquer ficheiro no servidor que, de outra forma, estaria protegido.
O segundo identificador, CVE-2026-29202, expõe uma lacuna de injeção de código Perl na interface de programação de aplicações relacionada com a criação de utilizadores, especificamente no parâmetro dedicado aos plugins. Este tipo de vulnerabilidade é particularmente severo, pois pode permitir a execução de comandos não autorizados diretamente no sistema.
Por fim, a falha CVE-2026-29203 está relacionada com o manuseamento inseguro de links simbólicos. Esta vulnerabilidade permite que um atacante altere as permissões de um ficheiro arbitrário, o que pode resultar num ataque de negação de serviço e criar uma via para o escalonamento de privilégios dentro do servidor.
Como proteger a tua infraestrutura
A empresa assegurou que as atualizações estão a ser distribuídas automaticamente para os servidores com essa configuração ativa. Contudo, aconselha vivamente os administradores de sistemas a efetuarem uma verificação e atualização manual através do comando de terminal padrão de atualização forçada da plataforma. Após o processo, é fundamental verificar a versão instalada para confirmar que o sistema está seguro.
As correções abrangem desde as versões mais recentes, como a 11.136, até ramificações mais antigas como a 11.86. A plataforma paralela WP Squared também recebeu a respetiva correção a partir da versão 11.136.1.10.
Para os administradores que ainda gerem servidores baseados em CentOS 6 ou CloudLinux 6, a empresa disponibilizou a versão 110.0.114 como uma atualização direta. Nestes casos específicos, é necessário ajustar a configuração da linha de atualizações no sistema antes de iniciar o processo manual de instalação.
Nenhum comentário
Seja o primeiro!