أصدرت cPanel تحديثات أمنية لمعالجة ثلاث ثغرات في منصتي cPanel و Web Host Manager (WHM)، يمكن أن تؤدي، وفقاً لطبيعة كل ثغرة، إلى قراءة ملفات عشوائية، أو تنفيذ شيفرات، أو هجمات حجب الخدمة، مع احتمالات لتصعيد الصلاحيات في بعض الحالات.
وتشمل الثغرات المعلنة الثغرة (CVE-2026-29201 بتقييم CVSS عند 4.3)، والتي ترتبط بضعف في التحقق من اسم ملف الخصائص ضمن استدعاء adminbin الخاص بـ feature::LOADFEATUREFILE، ما قد يسمح بقراءة ملف عشوائي. أما الثغرة الثانية (CVE-2026-29202 بتقييم CVSS عند 8.8)، فترتبط بضعف في التحقق من مدخلات معامل plugin ضمن استدعاء create_user API، وقد تتيح تنفيذ شيفرات Perl عشوائية باسم مستخدم النظام المرتبط بحساب سبق له تسجيل الدخول.
وتتعلق الثغرة الثالثة (CVE-2026-29203 بتقييم CVSS عند 8.8) بمعالجة غير آمنة للروابط الرمزية، بما قد يسمح للمستخدم بتعديل أذونات الوصول إلى ملف عشوائي باستخدام أمر chmod، وتنفيذ هجمات حجب الخدمة أو فتح مسار محتمل لتصعيد الصلاحيات.
وأوضحت الشركة أن الإصلاحات أدرجت في عدة إصدارات من cPanel و WHM، من بينها 11.136.0.9 وما بعدها، و11.134.0.25 وما بعدها، و11.132.0.31 وما بعدها، و11.130.0.22 وما بعدها، إضافة إلى إصدارات مصححة أخرى للفروع الأقدم. كما شملت التحديثات WP Squared بالإصدار 11.136.1.10 وما بعده. وأتاحت cPanel أيضاً الإصدار 110.0.114 كتحديث مباشر للعملاء الذين لا يزالون يستخدمون CentOS 6 أو CloudLinux 6، داعية المستخدمين إلى الانتقال إلى أحدث الإصدارات المتاحة لتعزيز الحماية.
وعلى الرغم من عدم وجود مؤشرات على استغلال هذه الثغرات ميدانياً حتى الآن، إلا أن هذا الإعلان يأتي بعد أيام من استغلال ثغرة حرجة أخرى في المنتج مسجلة بالمعرف CVE-2026-41940، كثغرة يوم صفر لنشر نسخ من شبكة Mirai البرمجية الخبيثة وسلالة فدية تعرف باسم Sorry.
