CVE cPanel і WHM

Трирічний список CVE для cPanel, WHM і WebHost Manager, важливий для хостингу та адміністрування серверів.

Окремий список CVE

CVE cPanel і WHM

Трирічний список CVE для cPanel, WHM і WebHost Manager, важливий для хостингу та адміністрування серверів.

Адміністрування серверів
КатегоріяПеремикайте окремі списки CVE для вибраних продуктів.
Показативідсортовано за операційною важливістю для інфраструктури DataHouse
CVE-2026-41940CVSS 9.3CISA KEVCMS

CVE-2026-41940: Відсутність автентифікації у критичній функції WebPros cPanel & WHM та WP2

У версіях cPanel і WHM після 11.40 виявлено вразливість, що дозволяє обходити автентифікацію під час входу. Це дає змогу неавторизованим віддаленим зловмисникам отримати доступ до панелі керування.

Оновлено: 2026-06-17
CVE-2026-48172CVSS 10.0CISA KEVcPanel

Уразливість підвищення привілеїв у плагіні LiteSpeed cPanel

Уразливість у плагіні LiteSpeed cPanel версій до 2.4.5 дозволяє зловмисникам підвищити привілеї, потенційно до рівня root. Вразливість активно експлуатувалась у травні 2026 року, пов’язана з некоректною обробкою функцій увімкнення/вимкнення Redis.

Оновлено: 2026-06-17
CVE-2026-54420CVSS 8.5CISA KEVLinux

Вразливість у LiteSpeed cPanel Plugin: небезпечне слідування за UNIX символічними посиланнями

У плагіні LiteSpeed cPanel версій до 2.4.8 виявлено вразливість, що дозволяє зловмисникам з FTP або веб-доступом на спільному хостингу з CloudLinux/CageFS обходити обмеження через символічні посилання. Ця проблема активно експлуатувалась у травні 2026 року.

Оновлено: 2026-06-17
CVE-2024-8767CVSS 9.9Linux

CVE-2024-8767: Вразливість у плагінах Acronis Backup для Linux

Вразливість CVE-2024-8767 дозволяє розкриття та маніпуляцію конфіденційними даними через надмірні привілеї у плагінах Acronis Backup для cPanel, Plesk та DirectAdmin на Linux. Проблема стосується версій до відповідних збірок 619, 555 та 147.

Оновлено: 2026-06-17
CVE-2026-47365CVSS 9.9CMS

Критична вразливість інжекції аргументів у WordPress Toolkit до версії 6.11.0

Вразливість інжекції аргументів у WordPress Toolkit, що використовується в cPanel & WHM, дозволяє віддаленим автентифікованим користувачам обходити авторизацію між орендарями та виконувати довільні команди wp-toolkit CLI від імені іншого облікового запису.

Оновлено: 2026-06-17
CVE-2025-12539CVSS 10.0CMS

CVE-2025-12539

The TNC Toolbox: Web Performance plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.4.2. This is due to the plugin storing cPanel API credentials (hostname, username, and API key) in files within the...

Оновлено: 2026-06-17
CVE-2022-48623CVSS 9.1cPanel

CVE-2022-48623: cpanel\ vulnerability

The Cpanel::JSON::XS package before 4.33 for Perl performs out-of-bounds accesses in a way that allows attackers to obtain sensitive information or cause a denial of service.

Оновлено: 2026-06-17
CVE-2025-43919CVSS 5.8Runtime

CVE-2025-43919: mailman vulnerability

GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to read arbitrary files via ../ directory traversal at /mailman/private/mailman (aka the private archive authentication endpoint) via the username parameter. NOTE: multiple...

Оновлено: 2026-06-17
CVE-2025-66429CVSS 8.8cPanel

CVE-2025-66429: cpanel vulnerability

An issue was discovered in cPanel 110 through 132. A directory traversal vulnerability within the Team Manager API allows for overwrite of an arbitrary file. This can allow for privilege escalation to the root user.

Оновлено: 2026-06-17
CVE-2026-29203CVSS 5.3cPanel

CVE-2026-29203

A chmod call in the cPanel Nova plugin's Cpanel::Nova::Connector follows symlinks, allowing setting root permissions on arbitrary system files or directories. That can cause DoS or local privilege escalation when an authenticated cPanel user places a symlin...

Оновлено: 2026-06-17
CVE-2025-43920CVSS 5.4Runtime

CVE-2025-43920: mailman vulnerability

GNU Mailman 2.1.39, as bundled in cPanel (and WHM), in certain external archiver configurations, allows unauthenticated attackers to execute arbitrary OS commands via shell metacharacters in an email Subject line. NOTE: multiple third parties report that th...

Оновлено: 2026-06-17
CVE-2025-40929CVSS 5.6cPanel

CVE-2025-40929

Cpanel::JSON::XS before version 4.40 for Perl has an integer buffer overflow causing a segfault when parsing crafted JSON, enabling denial-of-service attacks or other unspecified impact

Оновлено: 2026-06-17
CVE-2025-43921CVSS 5.3Runtime

CVE-2025-43921: mailman vulnerability

GNU Mailman 2.1.39, as bundled in cPanel (and WHM), allows unauthenticated attackers to create lists via the /mailman/create endpoint. NOTE: multiple third parties report that they are unable to reproduce this, regardless of whether cPanel or WHM is used.

Оновлено: 2026-06-17
CVE-2026-9516CVSS 7.5cPanel

CVE-2026-9516: cpanel\ vulnerability

Cpanel::JSON::XS versions before 4.41 for Perl allow denial of service via UTF-8 BOM prefixed input when a decode filter callback throws. To skip a leading 3-byte UTF-8 BOM, decode_json() advances the input scalar's string pointer past the mark with SvPV_s...

Оновлено: 2026-06-17
CVE-2026-14803CVSS 6.5cPanel

CVE-2026-14803

Mojo::JSON versions before 9.47 for Perl allow memory exhaustion via unbounded recursion in the pure-Perl decoder. The pure-Perl decode path (`_decode_value` dispatching to `_decode_array` and `_decode_object`) recurses with no depth limit, so a small deep...

Оновлено: 2026-07-06
CVE-2026-9334CVSS 7.3cPanel

CVE-2026-9334: cpanel\ vulnerability

Cpanel::JSON::XS versions before 4.41 for Perl allow type confusion via duplicate object keys when dupkeys_as_arrayref is enabled. decode_hv() collapses duplicate object keys into an array reference under dupkeys_as_arrayref. The branch reached for a dupli...

Оновлено: 2026-06-17
CVE-2024-34015CVSS 3.3Linux

CVE-2024-34015

Sensitive information disclosure during file browsing due to improper symbolic link handling. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 1.8.3.818, Acronis Backup plugin for cPanel & WHM (Linux) before b...

Оновлено: 2026-06-17
CVE-2024-34014CVSS 5.5Linux

CVE-2024-34014

Arbitrary file overwrite during recovery due to improper symbolic link handling. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 1.8.3.818, Acronis Backup plugin for cPanel & WHM (Linux) before build 1.9.1.89...

Оновлено: 2026-06-17
CVE-2025-24832CVSS 5.5Linux

CVE-2025-24832

Arbitrary file overwrite during home directory recovery due to improper symbolic link handling. The following products are affected: Acronis Backup plugin for cPanel & WHM (Linux) before build 1.8.4.866, Acronis Backup plugin for cPanel & WHM (Linux) before...

Оновлено: 2026-06-17
CVE-2025-22690CVSS 7.1CMS

CVE-2025-22690

Cross-Site Request Forgery (CSRF) vulnerability in DigiTimber DigiTimber cPanel Integration digitimber-cpanel-integration allows Stored XSS.This issue affects DigiTimber cPanel Integration: from n/a through <= 1.4.6.

Оновлено: 2026-06-17

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки