cPanel黑色星期：44000台服务器遭勒索攻击后，三个新漏洞紧急修复

cPanel黑色星期：44000台服务器遭勒索软件攻击后，三个新漏洞已修复

如果您运行的服务器使用了cPanel或WHM，那么请仔细阅读本文。

2026年5月8日，就在cPanel的CVE - 2026 - 41940身份验证绕过漏洞被利用，导致44000台虚拟主机服务器被入侵并部署勒索软件的十天后，cPanel悄悄发布了第二个紧急安全补丁。该补丁修复了三个新漏洞：CVE - 2026 - 29201、CVE - 2026 - 29202和CVE - 2026 - 29203。

这三个漏洞中有两个的CVSS评分为8.8，属于“高严重级别”，仅次于“关键级别”。

这是cPanel在10天内发布的第二个技术安全更新（TSR）。不到两周内发布两个紧急补丁并不常见，而且时间点——就在多年来最严重的cPanel攻击之后——说明了一个明显的情况：勒索软件事件引发了更深入的代码审计，而这次审计发现了更多问题。

目录

• 什么是cPanel TSR？
• 三个新漏洞
  • CVE - 2026 - 29201 —— 任意文件读取（CVSS 4.3）
  • CVE - 2026 - 29202 —— 任意Perl代码执行（CVSS 8.8）
  • CVE - 2026 - 29203 —— 通过不安全符号链接进行权限提升（CVSS 8.8）
• 背景：cPanel最近发生了什么
• 如何逐步进行补丁修复
• 是否应该检查之前是否被入侵？
• 更广泛的趋势
• 总结清单

什么是cPanel TSR？

在深入了解这些漏洞之前，先简单介绍一下相关背景：当安全补丁准备好时，cPanel会采用一种标准化的流程，即技术安全更新（TSR）。cPanel会提前通知注册客户，以便他们安排更新窗口和维护计划。CVE编号会通过MITRE预留，但完整的技术细节会在补丁发布时才解除保密限制，以防止在修复方案可用之前被利用。

2026年5月7日，WebPros向注册客户发送了第二封TSR预披露邮件，这是十天内的第二封此类紧急通知。补丁于5月8日美国东部标准时间12:00发布。

三个新漏洞

CVE - 2026 - 29201 —— 任意文件读取（CVSS 4.3）

漏洞描述：在`feature::LOADFEATUREFILE`管理二进制调用中，对功能文件名的输入验证不足，可能导致任意文件读取。

实际影响：经过身份验证的攻击者可以操纵功能文件名参数，读取托管服务器上他们本无权访问的文件。虽然这不会直接授予root权限，但获取的信息（如配置文件、凭据、内部路径）可用于发起更具破坏性的后续攻击。

严重程度：中度（CVSS 4.3）。虽然紧迫性低于其他漏洞，但鉴于当前的威胁环境，仍应立即进行修复。

CVE - 2026 - 29202 —— 任意Perl代码执行（CVSS 8.8）

漏洞描述：在`create_user` API调用中，对`plugin`参数的输入验证不足，可能导致以已认证账户的系统用户身份执行任意Perl代码。

实际影响：这是三个漏洞中最危险的一个。经过身份验证的用户（可能是共享服务器上的任何账户持有者）可以通过`create_user` API注入任意Perl代码。在cPanel环境中运行的Perl代码具有重要的系统级访问权限。在共享托管服务器上，这可能允许一个租户运行影响整个服务器的代码。

严重程度：高（CVSS 8.8）。虽然需要身份验证，但在共享托管环境中，这个门槛较低，任何账户都可能被利用。

CVE - 2026 - 29203 —— 通过不安全符号链接进行权限提升（CVSS 8.8）

漏洞描述：存在不安全的符号链接处理漏洞，允许用户使用chmod修改任意文件的访问权限，从而导致拒绝服务或可能的权限提升。

实际影响：攻击者可以创建指向敏感系统文件的符号链接，并通过cPanel触发chmod操作，从而更改他们本不应触及的文件权限。如果系统文件变得无法访问，可能会导致权限提升或拒绝服务。

严重程度：高（CVSS 8.8）。与CVE - 2026 - 29202结合使用时，这两个漏洞可能会被链式利用：先执行代码创建符号链接，然后利用chmod提升权限以获得更深入的访问。

背景：cPanel最近发生了什么

要理解这三个补丁为何比其单个CVSS评分所显示的更重要，有必要回顾一下它们发布前十天发生的事情。

2026年4月28日，cPanel发布了针对CVE - 2026 - 41940的紧急补丁，这是一个CVSS评分为9.8的身份验证绕过漏洞，允许未经身份验证的远程攻击者获得cPanel和WHM的管理权限。该漏洞作为零日漏洞被积极利用，攻击尝试可追溯到2026年2月下旬，这意味着攻击者在修复方案可用之前有大约两个月的领先时间。

后果立竿见影且十分严重。至少44000个运行cPanel的IP地址在持续攻击中被入侵。黑客利用该漏洞攻破服务器，并部署了一种基于Go语言的Linux加密器，用于名为“Sorry”的勒索软件。

10天内发布两个紧急技术支持更新，反映了安全团队所认识的集中补救周期：最初的关键补丁触发了对相邻代码路径的更深入审计，而这次审计发现了之前未被发现或优先级较低的其他问题。在重大事件发生后出现这种情况并不罕见，实际上这是对身份验证和会话处理代码进行加速重新审查的预期结果。

换句话说，在CVE - 2026 - 41940之后发现CVE - 2026 - 29201、29202和29203并非运气不好，而是cPanel在压力下对代码进行审计并发现更多问题的结果。未来可能还会有更多漏洞披露。

如何逐步进行补丁修复

标准更新

`/scripts/upcp`

在5月8日美国东部标准时间12:00之后，以root身份从命令行运行此命令。这将通过cPanel的标准层级机制拉取最新的TSR。

如果自动更新已禁用或您使用的是固定层级

`/scripts/upcp --force`

对于CloudLinux 6服务器

`sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf`
`/scripts/upcp`

打补丁后，重启cpsrvd

`/scripts/restartsrv_cpsrvd`

验证已应用补丁的版本

`/usr/local/cpanel/cpanel -V`

在确认服务器受到保护之前，请确保版本与cPanel官方安全公告中列出的已修补版本相匹配。

是否应该检查之前是否被入侵？

如果您的服务器在2月下旬至4月28日期间运行的是未打补丁的cPanel版本，那么应将其视为可能已被入侵，并进行调查，而不仅仅是打补丁。

建议的取证步骤包括：从2026年2月23日开始追溯审计访问日志，查看`/usr/local/cpanel/logs/access_log`和`/usr/local/cpanel/logs/login_log`，查找来自意外IP地址的异常会话身份验证模式。此外，对用户主目录进行递归扫描，查找扩展名为`.sorry`的文件。如果存在`.sorry`文件，则确认已部署勒索软件，需要进行全面的事件响应，而不仅仅是打补丁。

更广泛的趋势

cPanel目前面临的情况是整个虚拟主机安全领域更广泛趋势的一部分。

近年来最受关注的三个Linux内核漏洞——Copy Fail（CVE - 2026 - 31431）和Dirty Frag（CVE - 2026 - 43284/43500）——在4月下旬至5月上旬的八天内相继披露。cPanel勒索软件攻击暴露了超过44000台服务器。现在，在第一个紧急补丁发布几天后，又有三个cPanel CVE出现。

这种集中披露并非巧合。人工智能辅助的安全研究发现漏洞的速度超过了协调披露流程的处理能力。从攻击者发现漏洞到在生产环境中利用漏洞的时间窗口从数周缩短到了数天。以CVE - 2026 - 41940为例，在补丁出现之前几个月就已经开始被利用。

对于任何运行cPanel服务器的人来说，实际操作的影响很直接：必须开启自动更新，补丁验证必须成为维护清单的一部分，每次重大事件后审查日志不再是可选项。

总结清单