تحديثات لـ cPanel و WHM باش يرقعو تلاتة ديال الثغرات كيسمحو بتنفيذ الكود وتصعيد الصلاحيات

خلاصة — خرجات cPanel تحديثات باش ترقع تلاتة ديال الثغرات (CVE-2026-29201، CVE-2026-29202، CVE-2026-29203) كيقيسو cPanel، WHM، و WP Squared. جوج منهوم عندهوم تقييم CVSS 8.8 وكيخليو المهاجم ينفذ كود عن بعد ويصعد الصلاحيات (privilege escalation)؛ الثالثة كتسمح بقراءة ملفات عشوائية. ماكاين حتى دليل على استغلال نشط دابا، ولكن هاد الإعلان جا مور ما تكشفات ثغرة خطيرة أخرى (CVE-2026-41940) اللي ديجا تخدمات باش تنشر Mirai و ransomware.

شنو واقع

خرجات cPanel ترقيعات لبزاف ديال النسخ دالمنتجات ديالها باش تعالج تلاتة ديال الثغرات متعلقين بالتحقق من المدخلات (input validation) والتعامل مع symlink. هاد الثغرات كتختلف فالخطورة وطرق الهجوم:

CVE-2026-29201 (CVSS 4.3) جات من ضعف فالتحقق من المدخلات ديال سميات الملفات فالاستدعاء (call) ديال "feature::LOADFEATUREFILE". هاد الثغرة كتسمح للمهاجم يقرا ملفات عشوائية، وهادشي كيفتح الباب لتسريب معلومات (information disclosure) فالأنظمة المصابة.

CVE-2026-29202 (CVSS 8.8) كتقيس الاستدعاء ديال "create_user API" حيت ماكاينش تحقق كافي من البارامتر "plugin". مهاجم عندو صلاحيات الدخول (authenticated) يقدر يستغل هادشي باش ينفذ كود Perl عشوائي فسياق المستخدم ديال النظام اللي ديجا مصادق عليه.

CVE-2026-29203 (CVSS 8.8) متعلقة بالتعامل غير الآمن مع symlink اللي كيسمح للمستخدمين يبدلو صلاحيات الوصول لملفات عشوائية عن طريق chmod. هادشي يقدر يؤدي لهجمات حجب الخدمة (denial-of-service) أو، فبعض الحالات، تصعيد الصلاحيات.

صرحات cPanel بلي خرجات نسخ مرقعة فـ 12 فرع (branch) ديال cPanel و WHM، زائد تحديث لـ WP Squared. كاين تحديث مباشر منفصل (النسخة 110.0.114) متوفر للأنظمة القديمة اللي خدامة بـ CentOS 6 أو CloudLinux 6.

فاش تنشر هاد التقرير، ماكاين حتى دليل كيبين بلي هاد التلاتة دالثغرات تستغلو فبيئات العمل (production environments).

علاش هادشي مهم

بالنسبة لمزودي خدمات الاستضافة (hosting providers) ومسؤولي الأنظمة اللي خدامين بـ cPanel أو WHM، هاد الترقيعات كتعالج تهديدات كتمس السرية والتوافر (availability). الثغرات بجوج اللي الخطورة ديالهوم طالعة (CVE-2026-29202 و CVE-2026-29203) عندهوم تقييم CVSS كيبين بلي كاين خطر كبير.

القدرة باش يتم تنفيذ كود عشوائي فـ CVE-2026-29202، وخا محدودة فالسياقات ديال المستخدمين اللي مسجلين الدخول، كتزيد من مساحة الهجوم (attack surface) بالنسبة للتحرك الجانبي (lateral movement) أو تصعيد الصلاحيات داخل بيئة الاستضافة. أي مهاجم قدر يوصل لحساب واحد، يقدر يطلع الصلاحيات ديالو باش ينفذ أوامر على مستوى النظام (system-level).

التعامل غير الآمن مع symlink فـ CVE-2026-29203 كيشكل خطر كبير خصوصا فبيئات الاستضافة المشتركة (multi-tenant)، فين مستخدم واحد يقدر يستعمل chmod بطريقة غالطة باش يأثر على ملفات ديال حسابات أخرى أو عمليات ديال النظام.

الثغرة CVE-2026-29201 اللي الخطورة ديالها أقل، تقدر تبان ماشي حرجة بوحدها، ولكن قراءة ملفات عشوائية يقدر يفضح بيانات إعدادات حساسة، مفاتيح API، أو بيانات اعتماد (credentials) ديال قواعد البيانات، وهادشي كيضاعف الخطر يلا تدمجات مع هجمات أخرى.

التوقيت ديال هادشي كيزيد من الضرورة التشغيلية: cPanel كشفات على هاد التلاتة دالثغرات يامات قليلة من بعد الثغرة الحرجة CVE-2026-41940، اللي ديجا تشافت كتستغل بشكل نشط باش تنشر بوتنيت Mirai وواحد النوع ديال ransomware سميتو Sorry. هادشي كيبين بلي فاعل التهديد (threat actor) عندو اهتمام متزايد بالبنية التحتية ديال cPanel.

الأنظمة المضرورة و CVEs

• cPanel و WHM — CVE-2026-29201، CVE-2026-29202، CVE-2026-29203
• WP Squared — CVE-2026-29201، CVE-2026-29202، CVE-2026-29203

شنو خاص يدار

• حدث cPanel و WHM للنسخة 11.136.0.9 أو كثر، أو لأحدث نسخة فالفرع الحالي ديالك (11.134.0.25+، 11.132.0.31+، 11.130.0.22+، 11.126.0.58+، 11.124.0.37+، 11.118.0.66+، 11.110.0.116+، 11.102.0.41+، 11.94.0.30+، أو 11.86.0.43+)
• حدث WP Squared للنسخة 11.136.1.10 أو كثر
• بالنسبة للأنظمة اللي باقة فـ CentOS 6 أو CloudLinux 6، طبق التحديث 110.0.114
• عطي الأولوية لترقيع الأنظمة المعرضة لشبكات ماشي موثوقة (untrusted networks) أو فين كيكونو APIs الموجهة للمستخدمين خدامة
• بما أن الثغرة CVE-2026-41940 كتستغل بشكل نشط فهاد الوقت، خاصنا نتأكدو بلي ماكايناش حتى نسخة بلا ترقيع بقات فالبيئة ديال الدومين ديالنا

أسئلة مطروحة

• المصدر ما كيوضحش واش الثغرتين CVE-2026-29202 و CVE-2026-29203 كيحتاجو مصادقة مسبقة أو يقدر يستغلهوم مهاجم بلا مصادقة. الإشعار كيقول بلي CVE-2026-29202 كتقيس "مستخدم النظام ديال حساب ديجا مصادق عليه" ولكن ما كيحددش واش المهاجم براسو خاص يكون عندو حساب.
• النطاق والتفاصيل ديال قراءة الملفات العشوائية فـ CVE-2026-29201 ما واضحينش—أي توضيح على أنواع الملفات والمسارات اللي يقدر لواحد يوصل ليها غادي يعاون باش نحددو الأولوية ديال الخطر.
• الإشعار حط ليستة ديال النسخ المرقعة ولكن ما أكدش واش ڭاع الفروع ديال cPanel المدعومة توصلو بالتحديثات أو غير دوك اللي مدكورين.
• ما تعلنات حتى مدة زمنية محددة للتحديثات المفروضة أو خطة للإعلان على نهاية دعم (deprecation) النسخ اللي ماتقعاتش.

المصدر

cPanel, WHM Release Fixes for Three New Vulnerabilities — Patch Now