Senast uppdaterad:
Fem nya sårbarheter i cPanel och WHM (CVE-2026-29205, CVE-2026-29206, CVE-2026-32991, CVE-2026-32992, CVE-2026-32993) har publicerats idag den 13 maj 2026. Vi har patchat samtliga av våra cPanel/WHM-servrar i direkt anslutning till publiceringen och våra webbhotellskunder behöver inte vidta några åtgärder.
cPanel publicerade idag den 13 maj 2026 klockan 19:26 (CEST) fem nya sårbarheter tillsammans med en patch som åtgärdar dem:
- CVE-2026-29205 – Otillräcklig sökvägsfiltrering kombinerat med felaktig hantering av privilegier i vissa
cpdavd-endpoints gör det möjligt att läsa godtyckliga filer. - CVE-2026-29206 – SQL-injektion i skriptet
sqloptimizergör det möjligt att köra godtyckliga SQL-frågor. - CVE-2026-32991 – En team-användare med låga rättigheter (
role=default) kan eskalera till ägarkontots fulla rättigheter via vissa UAPI-moduler. - CVE-2026-32992 – Bristfällig SSL-verifiering i ett DNS-kluster gör det möjligt för en skadlig server att utföra en man-in-the-middle-attack och fånga upp inloggningsuppgifter.
- CVE-2026-32993 – Oautentiserad endpoint i
cpsrvdgör det möjligt att injicera godtyckliga HTTP-headers.
Tekniska detaljer offentliggjordes först i samband med patchen, vilket är cPanels normala rutin vid den här typen av samordnade säkerhetsuppdateringar. Patchen finns även dokumenterad i cPanels changelog.
Patchade versioner per cPanel-tier:
| Tier | Minsta patchade version |
|---|---|
| 11.136 | 11.136.0.10 |
| 11.134 | 11.134.0.26 |
| 11.132 | 11.132.0.32 |
| 11.130 | 11.130.0.23 |
| 11.126 | 11.126.0.59 |
| 11.124 | 11.124.0.38 |
| 11.118 | 11.118.0.67 |
| 11.110 | 11.110.0.119 |
| 11.110 (cl6110) | 11.110.0.118 |
| 11.102 | 11.102.0.42 |
| 11.94 | 11.94.0.31 |
| 11.86 | 11.86.0.44 |
Vår webbhotellsmiljö använder dessutom CageFS, vilket isolerar varje cPanel-användare i en egen miljö och i allmänhet begränsar effekten av den här typen av lokala sårbarheter.
Vi fick förhandsinformation från cPanel redan dagen innan och har under dagen planerat utrullningen för att vara fullt redo när uppdateringarna släpptes klockan 19:00. Vi förvarnade om underhållet på vår statussida klockan 15:22.
Anledningen till att vi inte gick ut med information om sårbarheterna tidigare under dagen är att en publik bloggartikel om en opatchad sårbarhet riskerar att dra onödig uppmärksamhet till våra system under det fönster där det ännu inte finns någon åtgärd att installera. Skulle något läcka i förväg vill vi inte själva vara orsaken till att blicken dragits dit.
Underhållet var planerat att inledas 19:00, men det dröjde till 19:26 innan publiceringen skedde, och vi slutförde underhållet strax efter 20:00. Samtliga av våra cPanel/WHM-servrar kör nu en patchad version. Vi har inte kunnat påvisa några tecken på att sårbarheterna utnyttjats hos oss. Du som webbhotellskund hos Oderland behöver inte göra något.
Om du har en egen server med cPanel/WHM rekommenderar vi att du snarast verifierar att du kör en av de patchade versionerna i listan ovan.