CPanel 黑色周：44k 服务器遭受攻击后修复了 3 个新漏洞

cPanel 的黑色周：勒索软件攻击 44,000 台服务器后修复了三个新漏洞 2026 年 5 月 9 日 作者：Gustavo Gallas 阅读时间：5 分钟 cPanel 如果您使用 cPanel 或 WHM 运行服务器，则需要仔细阅读本文。 2026 年 5 月 8 日，即 cPanel CVE-2026-41940 身份验证绕过被用来危害 44,000 个网络托管服务器并部署勒索软件的十天后，cPanel 悄悄发布了第二个紧急安全补丁。此漏洞涵盖三个新漏洞：CVE-2026-29201、CVE-2026-29202 和 CVE-2026-29203。三者中的两者的 CVSS 得分为 8.8。这使它们牢牢地处于高严重性级别，比“严重”低一级。这是 cPanel 10 天内发布的第二个技术安全版本 (TSR)。在不到两周的时间内发布两个紧急补丁是不正常的，而且这个时间点——紧随多年来最严重的 cPanel 攻击之后——说明了一个清晰的故事：勒索软件事件引发了更深入的代码审计，而审计发现了更多问题。目录 什么是 cPanel TSR？在深入研究漏洞之前，请先了解一下上下文：当安全补丁准备就绪时，cPanel 使用称为技术安全发布 (TSR) 的标准化流程。 cPanel 会提前通知注册客户，以便他们准备更新窗口和维护计划。 CVE 编号是通过 MITRE 保留的，但在补丁上线之前，完整的技术细节都被禁止——以防止在修复可用之前被利用。 2026 年 5 月 7 日，WebPros 向注册客户发送了第二封 TSR 预披露电子邮件，这是十天内的第二封此类紧急通知。这些补丁于美国东部时间 5 月 8 日 12:00 发布。三个新漏洞 CVE-2026-29201 — 任意文件读取 (CVSS 4.3) 含义：feature::LOADFEATUREFILE adminbin 调用中功能文件名的输入验证不充分，可能导致任意文件读取。这在实践中意味着什么：经过身份验证的攻击者可以操纵功能文件名参数来读取他们不应访问的托管服务器上的文件。虽然这不会直接授予 root 访问权限，但收集到的信息（配置文件、凭据、内部路径）可用于发起更具破坏性的后续攻击。严重性：中等 (CVSS 4.3)。紧迫性比其他问题低，但考虑到当前的威胁环境，仍然值得立即修补。 CVE-2026-29202 — 任意 Perl 代码执行 (CVSS 8.8) 含义：create_user API 调用中插件参数的输入验证不充分，可能导致代表已通过身份验证的帐户的系统用户执行任意 Perl 代码。在实践中意味着什么：这是三者中最危险的。经过身份验证的用户（可以是共享服务器上的任何帐户持有者）可以通过 create_user API 注入任意 Perl 代码。在 cPanel 上下文中运行的 Perl 代码具有重要的系统级访问权限。在共享托管服务器上，这可能允许一个租户运行影响整台计算机的代码。严重性：高 (CVSS 8.8)。需要身份验证，但在共享主机上，门槛很低——任何帐户就足够了。 CVE-2026-29203 — 通过不安全符号链接进行权限提升 (CVSS 8.8) 它是什么：一个不安全符号链接处理漏洞，允许用户使用 chmod 修改任意文件的访问权限，从而导致拒绝服务或可能的权限提升。在实践中意味着什么：通过创建指向敏感系统文件的符号链接并通过 cPanel 触发 chmod 操作，攻击者可以更改他们不应访问的文件的权限。如果系统文件变得无法访问，这可能会导致权限升级或拒绝服务。严重性：高 (CVSS 8.8)。与 CVE-2026-29202 结合使用，这两个缺陷可能会被链接起来：执行代码来创建符号链接，然后使用 chmod 升级来获得更深入的访问权限。背景：cPanel 刚刚发生了什么要了解为什么这三个补丁比它们各自的 CVSS 分数所显示的更重要，有必要看看它们之前十天发生了什么。 2026 年 4 月 28 日，cPanel 发布了 CVE-2026-41940 的紧急补丁，这是一种 CVSS 9.8 身份验证绕过方法，允许未经身份验证的远程攻击者获得对 cPanel 和 WHM 的管理访问权限。该漏洞作为零日漏洞被积极利用，其利用尝试可以追溯到 2026 年 2 月下旬，这意味着攻击者在修复可用之前大约有两个月的时间。后果是直接而严重的。至少有 44,000 个运行 cPanel 的 IP 地址在持续的攻击中受到损害。黑客利用该缺陷破坏服务器，并为名为“Sorry”的勒索软件部署基于 Go 的 Linux 加密器。 10 天之内发布的两个紧急技术支持版本反映了安全团队所认为的集中修复周期：初始关键补丁会触发对相邻代码路径进行更深入的审核，并且该审核