Senast uppdaterad:
Tre nya sårbarheter i cPanel och WHM (CVE-2026-29201, CVE-2026-29202 och CVE-2026-29203) har publicerats idag den 8 maj 2026. Vi har patchat samtliga av våra cPanel/WHM-servrar i direkt anslutning till publiceringen och våra webbhotellskunder behöver inte vidta några åtgärder.
cPanel publicerade idag den 8 maj 2026 klockan 18:00 (CEST) tre nya sårbarheter tillsammans med en patch som åtgärdar dem:
- CVE-2026-29201 – Adminbin-anropet
feature::LOADFEATUREFILEvaliderade inte filnamn tillräckligt, vilket gjorde att en relativ sökväg kunde användas för att göra en godtycklig fil läsbar för alla. - CVE-2026-29202 – Perl-kodinjektion i API-anropet
create_userviaplugin-parametern. - CVE-2026-29203 – Osäker hantering av symlänkar gjorde det möjligt för en användare att köra
chmodpå en godtycklig fil, med risk för denial of service eller rättighetseskalering.
Tekniska detaljer offentliggjordes först i samband med patchen, vilket är cPanels normala rutin vid den här typen av samordnade säkerhetsuppdateringar. Patchen finns även dokumenterad i cPanels changelog.
Patchade versioner per cPanel-tier:
| Tier | Minsta patchade version |
|---|---|
| 11.136 | 11.136.0.9 |
| 11.136 (WP Squared) | 11.136.1.10 |
| 11.134 | 11.134.0.25 |
| 11.132 | 11.132.0.31 |
| 11.130 | 11.130.0.22 |
| 11.126 | 11.126.0.58 |
| 11.124 | 11.124.0.37 |
| 11.118 | 11.118.0.66 |
| 11.110 | 11.110.0.117 |
| 11.110 (cl6110) | 11.110.0.116 |
| 11.102 | 11.102.0.41 |
| 11.94 | 11.94.0.30 |
| 11.86 | 11.86.0.43 |
Vår webbhotellsmiljö använder dessutom CageFS, vilket isolerar varje cPanel-användare i en egen miljö och i allmänhet begränsar effekten av den här typen av lokala sårbarheter.
Vi fick förhandsinformation från cPanel redan tidigt i morse och har under förmiddagen planerat utrullningen för att vara fullt redo när uppdateringarna släpptes klockan 18:00. Vi förvarnade om underhållet på vår statussida klockan 15:49.
Anledningen till att vi inte gick ut med information om sårbarheterna tidigare under dagen är att en publik bloggartikel om en opatchad sårbarhet riskerar att dra onödig uppmärksamhet till våra system under det fönster där det ännu inte finns någon åtgärd att installera. Skulle något läcka i förväg vill vi inte själva vara orsaken till att blicken dragits dit.
Underhållet inleddes 18:00 och var slutfört ungefär 18:39. Samtliga av våra cPanel/WHM-servrar kör nu en patchad version. Vi har inte kunnat påvisa några tecken på att sårbarheterna utnyttjats hos oss. Du som webbhotellskund hos Oderland behöver inte göra något.
Om du har en egen server med cPanel/WHM rekommenderar vi att du snarast verifierar att du kör en av de patchade versionerna i listan ovan.