cPanel e WHM corrigem três novas vulnerabilidades; faça a atualização agora
11 de Maio de 2026

A cPanel divulgou atualizações para corrigir três vulnerabilidades no cPanel e no Web Host Manager (WHM) que poderiam ser exploradas para obter escalada de privilégios, execução de código e negação de serviço.

A lista das falhas é a seguinte:

CVE-2026-29201 (pontuação CVSS: 4,3) - validação insuficiente da entrada no nome do arquivo de recurso na chamada administrativa "feature::LOADFEATUREFILE", o que poderia resultar na leitura arbitrária de arquivos.

CVE-2026-29202 (pontuação CVSS: 8,8) - validação insuficiente da entrada no parâmetro "plugin" na chamada da API "create_user", o que poderia resultar na execução arbitrária de código Perl em nome do usuário do sistema da conta já autenticada.

CVE-2026-29203 (pontuação CVSS: 8,8) - uma vulnerabilidade insegura no tratamento de links simbólicos que permite a um usuário modificar as permissões de acesso de um arquivo arbitrário usando chmod, resultando em negação de serviço ou possível escalada de privilégios.

As falhas foram corrigidas nas seguintes versões:

cPanel e WHM:

11.136.0.9 e versões superiores
11.134.0.25 e versões superiores
11.132.0.31 e versões superiores
11.130.0.22 e versões superiores
11.126.0.58 e versões superiores
11.124.0.37 e versões superiores
11.118.0.66 e versões superiores
11.110.0.116 e versões superiores
11.110.0.117 e versões superiores
11.102.0.41 e versões superiores
11.94.0.30 e versões superiores
11.86.0.43 e versões superiores

WP Squared:

11.136.1.10 e versões superiores

A cPanel também disponibilizou a versão 110.0.114 como atualização direta para clientes que ainda usam CentOS 6 ou CloudLinux 6.

A orientação é atualizar para as versões mais recentes para obter a melhor proteção possível.

Embora não haja evidências de exploração dessas vulnerabilidades em ambiente real, a divulgação ocorre poucos dias depois de outra falha crítica no produto, identificada como CVE-2026-41940 , ter sido transformada em arma por threat actors como um zero-day para distribuir variantes do botnet Mirai e uma família de ransomware chamada Sorry.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...