cPanel e WHM corrigem três novas falhas: execução de código, leitura de arquivos e escalonamento de privilégios

A cPanel publicou atualizações de segurança para corrigir três vulnerabilidades no cPanel & WHM e no WP Squared. As falhas foram registradas como CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, afetando áreas sensíveis do painel de hospedagem: chamadas internas administrativas, APIs de criação de usuário e manipulação de links simbólicos no sistema de arquivos. Segundo a própria cPanel, as correções foram disponibilizadas em múltiplos ramos do produto, incluindo as versões 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.116, 11.110.0.117, 11.102.0.41, 11.94.0.30 e 11.86.0.43 ou superiores.

O caso chama atenção porque cPanel e WHM normalmente ficam no centro da operação de provedores de hospedagem, servidores VPS, ambientes revenda e painéis compartilhados. Uma falha nesse tipo de software não compromete apenas uma aplicação isolada: dependendo da exploração, pode afetar contas de hospedagem, arquivos de sites, bancos de dados, e-mails, permissões e até a administração do servidor.

As três vulnerabilidades corrigidas

As três falhas têm impactos diferentes, mas compartilham um ponto em comum: todas envolvem confiança excessiva em entradas controladas por usuário, chamadas internas ou manipulação incorreta de arquivos.

A descrição oficial da cPanel para a CVE-2026-29201 informa que uma chamada feature::LOADFEATUREFILE não validava adequadamente o nome do arquivo de recurso. Como resultado, um caminho relativo poderia ser passado como argumento, fazendo com que um arquivo arbitrário fosse tornado legível publicamente.

Já a CVE-2026-29202 envolve uma injeção de código Perl no fluxo da API create_user, especificamente relacionada ao parâmetro plugin. A cPanel descreve a falha como um método de injeção de código Perl associado a essa chamada de API.

A CVE-2026-29203 está ligada ao tratamento inseguro de links simbólicos. Segundo a cPanel, a falha permite que um usuário execute chmod sobre um arquivo arbitrário, o que pode causar negação de serviço ou possível escalonamento de privilégios.

Por que isso é perigoso em um servidor de hospedagem?

Em um servidor comum, uma falha de leitura de arquivo, execução de código ou alteração de permissões já é grave. Em um ambiente de hospedagem compartilhada, o risco aumenta porque vários usuários, domínios e aplicações convivem no mesmo sistema operacional.

O painel cPanel/WHM normalmente controla tarefas como:

• criação de contas;
• gerenciamento de domínios;
• manipulação de arquivos;
• provisionamento de usuários;
• configuração de permissões;
• gerenciamento de serviços;
• integração com plugins;
• administração de múltiplas contas em um mesmo servidor.

Quando uma vulnerabilidade permite que um usuário autenticado manipule uma chamada interna, injete código ou force permissões indevidas, o atacante não precisa necessariamente começar como root. Ele pode começar com uma conta limitada e tentar avançar lateralmente ou verticalmente dentro do ambiente.

Mentalidade do atacante: onde essas falhas entram em uma cadeia de ataque?

Para entender o risco, é melhor pensar como uma cadeia de ataque, não como três bugs isolados.

Um atacante normalmente procura três coisas:

1. Entrada controlável: algum parâmetro, nome de arquivo, campo de API ou caminho que possa ser manipulado.
2. Confiança excessiva do sistema: uma função interna que aceite essa entrada sem validação suficiente.
3. Impacto útil: leitura de arquivo sensível, execução de código, mudança de permissão ou escalonamento.

Nas três CVEs, esse padrão aparece de formas diferentes.

CVE-2026-29201: leitura arbitrária via feature::LOADFEATUREFILE

A primeira falha envolve a chamada administrativa feature::LOADFEATUREFILE. O problema está na validação insuficiente do nome do arquivo de recurso. Segundo a cPanel, um caminho relativo poderia ser passado para essa chamada, levando um arquivo arbitrário a ser tornado legível publicamente.

Em termos práticos, o problema parece seguir este raciocínio:

entrada do usuário → nome de arquivo de feature → chamada interna → arquivo fora do escopo esperado

O que deveria acontecer:

permitir apenas arquivos de feature válidos dentro de um diretório esperado

O que a falha sugere:

aceitar caminho relativo ou manipulado → alcançar arquivo não previsto → alterar exposição do arquivo

Esse tipo de vulnerabilidade é clássico em falhas de validação de caminho. Mesmo quando o atacante não consegue executar código diretamente, a leitura ou exposição de arquivos pode abrir caminho para ataques maiores. Arquivos de configuração, tokens, backups, chaves, credenciais internas e metadados de serviço são exemplos de informações que podem transformar uma falha “média” em parte de um comprometimento mais sério.

CVE-2026-29202: injeção de código Perl no create_user

A segunda vulnerabilidade é mais severa. Ela envolve o parâmetro plugin na API create_user. A cPanel descreve a falha como um método de injeção de código Perl relacionado a esse parâmetro.

Aqui, o ponto crítico é que a entrada fornecida ao parâmetro plugin pode interferir no fluxo de execução. Como o cPanel possui grande parte de sua base histórica em Perl, uma falha de injeção nesse contexto pode permitir execução de código no contexto do usuário do sistema associado à conta autenticada.

A notícia do The Hacker News resume o impacto como execução arbitrária de código Perl em nome do usuário de sistema da conta já autenticada.

O fluxo conceitual seria:

usuário autenticado → chamada create_user → parâmetro plugin → interpretação insegura → execução de código no contexto da conta

Isso não significa necessariamente execução direta como root. Porém, em um ambiente de hospedagem, executar código como usuário do sistema já pode ser suficiente para:

• adulterar arquivos do site;
• implantar web shells;
• roubar configurações de aplicações;
• acessar bancos configurados com credenciais locais;
• pivotar para outros serviços internos;
• tentar escalonamento posterior.

CVE-2026-29203: symlink inseguro e chmod em arquivo arbitrário

A terceira falha envolve tratamento inseguro de symlinks. De acordo com a cPanel, o erro permite que um usuário altere permissões de um arquivo arbitrário usando chmod, causando negação de serviço ou possível escalonamento de privilégio.

Esse tipo de vulnerabilidade costuma ocorrer quando uma aplicação faz uma operação em um arquivo acreditando estar lidando com um caminho seguro, mas o caminho aponta para outro destino por meio de um link simbólico.

Exemplo conceitual:

arquivo esperado → symlink controlado → arquivo real sensível → chmod aplicado no alvo errado

O risco está na diferença entre o que o programa pensa estar alterando e o que o sistema operacional realmente altera. Em ambientes Unix/Linux, symlinks são recursos legítimos, mas perigosos quando uma aplicação privilegiada não valida corretamente o destino antes de operar sobre arquivos.

Uma exploração bem-sucedida poderia tornar um arquivo crítico ilegível, gravável ou inacessível, causando DoS. Em cenários mais graves, a alteração indevida de permissões pode ajudar um atacante a modificar arquivos que antes estavam protegidos.

Versões corrigidas

As correções foram disponibilizadas nos seguintes ramos do cPanel & WHM:

Para o WP Squared, a versão corrigida informada é:

A cPanel também informou uma atualização direta v110.0.114 para clientes que ainda estão em CentOS 6 ou CloudLinux 6.

Como verificar a versão instalada

Em um servidor cPanel/WHM, o primeiro passo é verificar a versão atual:

/usr/local/cpanel/cpanel -V

Se o servidor estiver abaixo da versão corrigida correspondente ao seu ramo, a atualização deve ser aplicada o quanto antes.

Como aplicar a atualização

A própria cPanel recomenda forçar o update com o seguinte comando:

/scripts/upcp --force

Depois da atualização, valide novamente:

/usr/local/cpanel/cpanel -V

Esse procedimento aparece nas páginas oficiais de correção das três vulnerabilidades.

Caso especial: CentOS 6 e CloudLinux 6

Para clientes ainda em CentOS 6 ou CloudLinux 6, a cPanel publicou instrução específica para mudar o tier de atualização antes de seguir com o update. O comando informado pela própria cPanel é:

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf

Depois disso, o administrador deve executar o update normalmente:

/scripts/upcp --force

E validar a versão:

/usr/local/cpanel/cpanel -V

Esse ponto é importante porque sistemas antigos tendem a acumular riscos. Mesmo quando recebem correções pontuais, continuar operando em versões legadas aumenta a superfície de ataque e reduz a previsibilidade de manutenção.

Como investigar sinais básicos após a atualização

Até o momento, a notícia original afirma que não há evidência pública de exploração ativa das três novas falhas. Ainda assim, por serem vulnerabilidades em painel de hospedagem, é recomendável revisar eventos recentes.

Alguns pontos práticos:

Comandos úteis para triagem inicial:

find /home -type f -perm -o=r -mtime -7 -ls

Esse comando lista arquivos em /home que estão legíveis para “others” e foram modificados nos últimos sete dias. Ele não prova exploração, mas ajuda a encontrar exposições recentes de permissão.

find /home -type l -mtime -7 -ls

Esse comando lista links simbólicos criados ou modificados recentemente em /home.

find /home -type f -mtime -7 −name"∗.php"−o−name"∗.pl"−o−name"∗.cgi"-name "*.php" -o -name "*.pl" -o -name "*.cgi"−name"∗.php"−o−name"∗.pl"−o−name"∗.cgi" -ls

Esse comando ajuda a localizar arquivos PHP, Perl ou CGI alterados recentemente, que podem indicar implantação de scripts indevidos.

grep -i "create_user" /usr/local/cpanel/logs/access_log

Esse comando pode ajudar a procurar chamadas relacionadas à criação de usuário nos logs do cPanel. O caminho e o formato podem variar conforme a configuração do ambiente.

Relação com a CVE-2026-41940: por que o alerta aumentou?

As três novas falhas foram divulgadas poucos dias depois de outra vulnerabilidade crítica no cPanel/WHM: a CVE-2026-41940. Essa falha recebeu pontuação crítica e foi descrita pelo NVD como um bypass de autenticação no fluxo de login, permitindo que atacantes remotos não autenticados obtivessem acesso não autorizado ao painel.

A cPanel publicou um aviso específico para essa vulnerabilidade em 28 de abril de 2026 e forneceu um script de detecção de indicadores de comprometimento, incluindo verificação de sessões no sistema de arquivos.

Segundo a Dark Reading, a falha CVE-2026-41940 recebeu PoCs públicos logo após a divulgação, e a KnownHost relatou sinais de tentativas de exploração em servidores, com alegações de atividade anterior à divulgação pública.

Esse contexto importa porque mostra um padrão operacional comum em ataques contra infraestrutura de hospedagem: quando uma falha crítica em cPanel aparece, a janela entre divulgação, PoC e exploração real pode ser muito curta.

O que administradores devem fazer agora

A resposta prática deve ser objetiva: atualizar, verificar e monitorar.

Hardening recomendado para WHM/cPanel

Além da correção, algumas medidas reduzem o impacto de falhas futuras.

Restringir acesso ao WHM

Se possível, limite o acesso ao WHM apenas a IPs administrativos confiáveis.

Exemplo com firewall baseado em firewalld:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="SEU_IP_ADMIN/32" port protocol="tcp" port="2087" accept'

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="2087" drop'

firewall-cmd --reload

Ajuste conforme a política do seu ambiente. Em alguns cenários, o servidor pode usar CSF, nftables, iptables direto ou regras do provedor cloud.

Verificar permissões anormais

find /home -xdev -type f -perm -0002 -ls

Esse comando procura arquivos graváveis por qualquer usuário. Em hospedagem compartilhada, isso merece atenção.

Procurar arquivos sensíveis expostos

find /home -type f −name".env"−o−name"wp−config.php"−o−name"configuration.php"-name ".env" -o -name "wp-config.php" -o -name "configuration.php"−name".env"−o−name"wp−config.php"−o−name"configuration.php" -perm -o=r -ls

Esse comando procura arquivos sensíveis que estejam legíveis para “others”.

Revisar symlinks

find /home -type l -ls

Symlinks não são automaticamente maliciosos. Porém, em incidentes envolvendo permissões e arquivos arbitrários, eles devem ser revisados com cuidado.

O que não fazer

Também evite:

Conclusão

As vulnerabilidades CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203 reforçam um ponto importante: painéis de hospedagem são alvos de alto valor. Uma falha no cPanel/WHM pode afetar muito mais do que uma única aplicação, especialmente em servidores compartilhados, ambientes de revenda e infraestruturas com múltiplos clientes.

A correção já está disponível. O procedimento mínimo é verificar a versão instalada, aplicar /scripts/upcp --force e confirmar a atualização com /usr/local/cpanel/cpanel -V. Depois disso, o ideal é revisar logs, permissões, symlinks, criação de usuários e alterações recentes em arquivos.

Mesmo sem evidência pública de exploração ativa dessas três falhas no momento da divulgação, o histórico recente da CVE-2026-41940 mostra que vulnerabilidades em cPanel podem ser rapidamente transformadas em exploração real. Em segurança, a melhor janela para agir é antes do incidente.

• cPanel Security Advisory — CVE-2026-29201.
• cPanel Security Advisory — CVE-2026-29202.
• cPanel Security Advisory — CVE-2026-29203.
• cPanel 136 Change Log.
• The Hacker News — cPanel, WHM Release Fixes for Three New Vulnerabilities.
• NVD — CVE-2026-41940.
• Dark Reading — Exploit Cyber-Frenzy Threatens Millions via Critical cPanel Vulnerability.