CVE-2026-41940CVSS 9.3CISA KEVCMS
W wersjach cPanel i WHM po 11.40 wykryto krytyczną lukę pozwalającą na obejście uwierzytelniania w procesie logowania. Atakujący zdalni bez uwierzytelnienia mogą uzyskać nieautoryzowany dostęp do panelu kontrolnego.
Aktualizacja: 2026-06-17
CVE-2026-48172CVSS 10.0CISA KEVcPanel
Wtyczka LiteSpeed User-End cPanel w wersjach przed 2.4.5 umożliwia eskalację uprawnień, potencjalnie do poziomu root, co zostało wykorzystane w atakach w maju 2026 roku. Wykrywanie incydentów polega na przeszukaniu logów za pomocą określonego polecenia grep...
Aktualizacja: 2026-06-17
CVE-2026-54420CVSS 8.5CISA KEVLinux
Wtyczka LiteSpeed cPanel w wersjach przed 2.4.8, używana w LiteSpeed WHM Plugin przed 5.3.2.0, nieprawidłowo obsługuje dowiązania symboliczne dostarczane przez użytkowników z dostępem FTP lub web shell na serwerach współdzielonych z CloudLinux/CageFS. Luka ...
Aktualizacja: 2026-06-17
CVE-2024-8767CVSS 9.9Linux
Wtyczki Acronis Backup dla cPanel, Plesk i DirectAdmin na Linuksie przed określonymi wersjami zawierają krytyczną lukę umożliwiającą nieautoryzowany dostęp i manipulację wrażliwymi danymi z powodu nadmiernych uprawnień. Luka ta może prowadzić do poważnych n...
Aktualizacja: 2026-06-17
CVE-2026-47365CVSS 9.9CMS
W WordPress Toolkit w wersjach przed 6.11.0, używanym w cPanel & WHM, wykryto lukę pozwalającą zdalnym, uwierzytelnionym użytkownikom na obejście autoryzacji między tenantami i wykonanie dowolnych poleceń CLI wp-toolkit jako inny użytkownik. Luka ta ma bard...
Aktualizacja: 2026-06-17
CVE-2025-12539CVSS 10.0CMS
The TNC Toolbox: Web Performance plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.4.2. This is due to the plugin storing cPanel API credentials (hostname, username, and API key) in files within the...
Aktualizacja: 2026-06-17
CVE-2022-48623CVSS 9.1cPanel
The Cpanel::JSON::XS package before 4.33 for Perl performs out-of-bounds accesses in a way that allows attackers to obtain sensitive information or cause a denial of service.
Aktualizacja: 2026-06-17
CVE-2025-43919CVSS 5.8Runtime
GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to read arbitrary files via ../ directory traversal at /mailman/private/mailman (aka the private archive authentication endpoint) via the username parameter. NOTE: multiple...
Aktualizacja: 2026-06-17
CVE-2025-66429CVSS 8.8cPanel
An issue was discovered in cPanel 110 through 132. A directory traversal vulnerability within the Team Manager API allows for overwrite of an arbitrary file. This can allow for privilege escalation to the root user.
Aktualizacja: 2026-06-17
CVE-2026-29203CVSS 5.3cPanel
A chmod call in the cPanel Nova plugin's Cpanel::Nova::Connector follows symlinks, allowing setting root permissions on arbitrary system files or directories. That can cause DoS or local privilege escalation when an authenticated cPanel user places a symlin...
Aktualizacja: 2026-06-17
CVE-2025-43920CVSS 5.4Runtime
GNU Mailman 2.1.39, as bundled in cPanel (and WHM), in certain external archiver configurations, allows unauthenticated attackers to execute arbitrary OS commands via shell metacharacters in an email Subject line. NOTE: multiple third parties report that th...
Aktualizacja: 2026-06-17
CVE-2025-40929CVSS 5.6cPanel
Cpanel::JSON::XS before version 4.40 for Perl has an integer buffer overflow causing a segfault when parsing crafted JSON, enabling denial-of-service attacks or other unspecified impact
Aktualizacja: 2026-06-17
CVE-2025-43921CVSS 5.3Runtime
GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to create lists via the /mailman/create endpoint. NOTE: multiple third parties report that they are unable to reproduce this, regardless of whether cPanel or WHM is used.
Aktualizacja: 2026-06-17
CVE-2026-9516CVSS 7.5cPanel
Cpanel::JSON::XS versions before 4.41 for Perl allow denial of service via UTF-8 BOM prefixed input when a decode filter callback throws.
To skip a leading 3-byte UTF-8 BOM, decode_json() advances the input scalar's string pointer past the mark with SvPV_s...
Aktualizacja: 2026-06-17
CVE-2026-14803CVSS 6.5cPanel
Mojo::JSON versions before 9.47 for Perl allow memory exhaustion via unbounded recursion in the pure-Perl decoder.
The pure-Perl decode path (`_decode_value` dispatching to `_decode_array` and `_decode_object`) recurses with no depth limit, so a small deep...
Aktualizacja: 2026-07-06
CVE-2026-9334CVSS 7.3cPanel
Cpanel::JSON::XS versions before 4.41 for Perl allow type confusion via duplicate object keys when dupkeys_as_arrayref is enabled.
decode_hv() collapses duplicate object keys into an array reference under dupkeys_as_arrayref. The branch reached for a dupli...
Aktualizacja: 2026-06-17
CVE-2024-34015CVSS 3.3Linux
Sensitive information disclosure during file browsing due to improper symbolic link handling. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 1.8.3.818, Acronis Backup plugin for cPanel & WHM (Linux) before b...
Aktualizacja: 2026-06-17
CVE-2024-34014CVSS 5.5Linux
Arbitrary file overwrite during recovery due to improper symbolic link handling. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 1.8.3.818, Acronis Backup plugin for cPanel & WHM (Linux) before build 1.9.1.89...
Aktualizacja: 2026-06-17
CVE-2025-24832CVSS 5.5Linux
Arbitrary file overwrite during home directory recovery due to improper symbolic link handling. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 1.8.4.866, Acronis Backup plugin for cPanel & WHM (Linux) before...
Aktualizacja: 2026-06-17
CVE-2025-22690CVSS 7.1CMS
Cross-Site Request Forgery (CSRF) vulnerability in DigiTimber DigiTimber cPanel Integration digitimber-cpanel-integration allows Stored XSS.This issue affects DigiTimber cPanel Integration: from n/a through <= 1.4.6.
Aktualizacja: 2026-06-17