Vulnérabilités cPanel et WHM : 3 Failles Critiques à Patcher d'Urgence

Les données sont alarmantes. Selon une analyse publiée par l’ANSSI en 2025, plus de 67 % des compromissions de serveurs Web en France provenaient de l’exploitation de vulnérabilités connues dans des panneaux de contrôle mal corrigés. Dans ce contexte, cPanel - utilisé par des millions d’hébergeurs et d’administrateurs systèmes à travers le monde - vient de déployer des correctifs majeurs pour trois failles dangereusement exploitables. Si vous gérez un serveur utilisant cPanel ou WHM, chaque minute compte.

Comprendre les vulnérabilités cPanel et WHM : panorama des trois failles

cPanel et Web Host Manager (WHM) constituent la solution de gestion d’hébergement la plus répandue sur le marché. Ces deux outils permettent aux administrateurs de contrôler l’ensemble des aspects d’un serveur - des comptes email aux bases de données, en passant par les domaines et les configurations SSL. Cette centralisation en fait également une cible de premier choix pour les attaquants. Une seule vulnérabilité exploitable dans ce panneau peut compromettre l’intégralité du serveur sous-jacent.

Les trois vulnérabilités récemment identifiées affectent différents composants de l’architecture cPanel. Elles ont été cataloguées sous les références CVE-2026-29201, CVE-2026-29202 et CVE-2026-29203. Chacune présente un niveau de gravité distinct et des vecteurs d’exploitation différents. comprendre leur fonctionnement individuel est essentiel pour évaluer les risques spécifiques à votre infrastructure.

« Un attaquant qui compromet le panneau de contrôle dispose potentiellement d’un accès complet au système de fichiers et aux privilèges système de l’utilisateur authentifié. » - Recommandations de sécurité ANSSI, Guide de durcissement des serveurs Web.

CVE-2026-29201 - Lecture arbitraire de fichiers

La première faille, référencée CVE-2026-29201, possède un score CVSS de 4.3, ce qui la place dans la catégorie des vulnérabilités de severité modérée. Cependant, sa nature mérite une attention particulière. Le problème réside dans une validation insuffisante des entrées concernant le nom de fichier de fonctionnalité dans l’appel adminbin « feature::LOADFEATUREFILE ».

Concrètement, cette faiblesse permet à un attaquant authentifié sur le panneau cPanel de provoquer la lecture de fichiers arbitraires sur le système. Un utilisateur malveillant pourrait ainsi accéder à des fichiers de configuration contenant des identifiants, des clés API ou des données sensibles stockées sur le serveur. Bien que le score CVSS soit relativement bas, le potentiel d’escalade vers des compromissions plus graves reste significatif.

Cette vulnérabilité s’inscrit dans une catégorie de failles que les experts en sécurité désignent sous le terme d’Local File Inclusion (LFI). Ces vulnérabilités sont particulièrement dangereuses car elles ne nécessitent souvent qu’un compte utilisateur basique pour être exploitées. Un attaquant n’a pas besoin de privilèges administratifs élevés pour initier l’attaque - il lui suffit d’un accès standard au panneau cPanel.

CVE-2026-29202 - Exécution de code Perl arbitraire

La deuxième faille, CVE-2026-29202, présente un score CVSS de 8.8, la classant dans le segment des vulnérabilités de haute sévérité. Le problème réside ici dans la validation insuffisante du paramètre « plugin » dans l’appel à l’API « create_user ».

Cette faiblesse permet à un attaquant déjà authentifié d’exécuter du code Perl arbitraire en utilisant le compte utilisateur système de l’utilisateur authentifié. En pratique, cela signifie qu’un simple compte d’hébergement peut être transformé en vecteur d’exécution de commandes système. L’attaquant ne peut pas directement obtenir des privilèges root via cette faille, mais il peut manipuler l’environnement du compte utilisateur de manière significative.

Les implications sont multiples :

• Modification de fichiers de configuration système
• Extraction de données sensibles stockées dans l’environnement utilisateur
• Création de comptes secondaires pour maintenir un accès persistant
• Preparation d’une escalade de privileges ultérieure

Ces risques d’execution de code s’inscrivent dans un contexte plus large ou les attaques de type Rowhammer demontrent que la surface d’exploitation s’etend aux composants materiels eux-memes.

Cette vulnérabilité exploite la confiance que cPanel accorde aux entrées utilisateur dans le contexte de création de comptes. Un attaquant peut injecter du code Perl malveillant via le paramètre vulnérable, qui sera ensuite interprété par l’environnement d’exécution de cPanel.

CVE-2026-29203 - Élévation de privilèges via manipulation de symlinks

La troisième faille, CVE-2026-29203, également cotée à 8.8 sur l’échelle CVSS, concerne une gestion non sécurisée des liens symboliques. Plus précisément, cette vulnérabilité permet à un utilisateur de modifier les permissions d’accès de fichiers arbitraires via la commande chmod.

Le mécanisme d’exploitation repose sur la manipulation de la cible d’un lien symbolique. Un attaquant peut créer un lien symbolique pointant vers un fichier critique du système, puis utiliser la fonctionnalité vulnérable pour modifier ses permissions. Cette modification peut avoir plusieurs conséquences graves :

• Denial of Service (DoS) : rendre un fichier système illisible ou inexploitable, paralysant des services essentiels
• Élévation de privilèges potentielle : modifier les permissions d’exécutables système pour leur donner des droits excessifs

Cette faille exploite une classe de vulnérabilités connue sous le nom de Time-of-Check to Time-of-Use (TOCTOU). Le problème survient lorsque le système vérifie les propriétés d’un fichier avant de l’utiliser, mais modifie cet état entre la vérification et l’utilisation. Dans le cas présent, un attaquant peut créer un lien symbolique vers un fichier sensible après la vérification mais avant l’opération chmod.

Niveaux de criticité et matrice de risque pour votre infrastructure

L’évaluation des vulnérabilités selon l’échelle CVSS (Common Vulnerability Scoring System) permet de hiérarchiser les actions correctives. Cependant, le scorealone ne doit pas constituer le seul critère de décision. La valeur 8.8 des CVE-2026-29202 et CVE-2026-29203 les place dans la catégorie « Haute », tandis que le score 4.3 de la CVE-2026-29201 la classe en « Moyenne ».

Voici une synthèse des caractéristique de chaque vulnérabilite :

La complexité d’exploitation mentionnée dans ce tableau reflète la difficulté technique required pour exploiter chaque faille dans des conditions réelles. Pour les deux vulnérabilités cotées à 8.8, des outils d’exploitation pourraient déjà exister ou être développés rapidement. La communauté de sécurité observe généralement un délai de 7 à 14 jours entre la publication d’un correctif et l’apparition de preuves d’exploitation dans la nature.

Statistique clé : Selon le rapport Verizon DBIR 2025, 24 % des compromissionsWeb impliquent l’exploitation de vulnérabilités pour lesquelles un correctif existait déjà au moment de l’attaque. Cette donnée souligne l’importance critique d’une mise à jour réactive face aux alertes de sécurité.

Au-dela des failles applicatives, les vulnérabilités critiques Nvidia demontrent que les composants materiels presentent des risques similaires d’execution de code et de deni de service.

Versions affectées et correctifs disponibles - La liste exhaustive des releases à mettre à jour

cPanel a publié des correctifs pour plusieurs branches de versions. La complexité de l’écosystème cPanel - qui supporte de nombreuses releases simultanées pour des raisons de compatibilité - impose une approche méthodique de la mise à jour. Les versions vulnérables et leurs correctifs associés sont répartis comme suit.

Versions cPanel et WHM nécessitant une mise à jour immédiate

La liste des versions corrigées est particulièrement longue, reflétant la diversité des environnements géré par cPanel à travers le monde :

• 11.136.0.9 et versions supérieures
• 11.134.0.25 et versions supérieures
• 11.132.0.31 et versions supérieures
• 11.130.0.22 et versions supérieures
• 11.126.0.58 et versions supérieures
• 11.124.0.37 et versions supérieures
• 11.118.0.66 et versions supérieures
• 11.110.0.116 et versions supérieures (avec une seconde release 11.110.0.117)
• 11.102.0.41 et versions supérieures
• 11.94.0.30 et versions supérieures
• 11.86.0.43 et versions supérieures

Si votre instance cPanel utilise une version antérieure à celles listées ci-dessus, vous êtes exposé aux trois vulnérabilités. La mise à jour doit être effectuée en priorité absolue.

Version WP Squared à mettre à jour

Pour les environnements utilisant WP Squared, la version minimale sécurisée est la 11.136.1.10. Cette version intègre les correctifs pour l’ensemble des trois failles identifiées.

Cas particulier : CentOS 6 et CloudLinux 6

Les utilisateurs仍在sur des versions obsolètes de CentOS 6 ou CloudLinux 6 font face à une situation particulière. cPanel a publié la version 110.0.114 comme mise à jour directe pour ces environnements. Cette release spécifique prend en compte les contraintes de compatibilité des distributions Linux en fin de vie. Il est important de noter que ces distributions ne reçoivent plus de mises à jour de sécurité de la part de leurs éditeurs, ce qui renforce l’importance critique de maintenir cPanel à jour.

« Les systèmes utilisant des distributions Linux en fin de vie représentent un risque accru. Même si cPanel maintient des correctifs, les vulnérabilités au niveau du système d’exploitation sous-jacent ne seront pas corrigées. Une migration vers une version supportée devrait être planifiée en urgence. » - Documentation officielle cPanel, Best Practices for Security.

Le contexte de menace actuel : Mirai botnet et ransomware Sorry

L’urgence de corriger ces vulnérabilités cPanel n’est pas uniquement théorique. Les chercheurs en sécurité ont documenté l’exploitation active de failles similaires dans des campagnes malveillantes récentes. días après l’annonce des correctifs pour les trois vulnérabilités traitées ici, une autre faille critique - référencée CVE-2026-41940 - a été weaponisée par des acteurs de menace pour déployer des variantes du botnet Mirai ainsi qu’un ransomware désigné sous le nom de « Sorry ».

Cette convergence de menaces souligne un schéma récurrent dans le paysage des menaces ciblant les panneaux de contrôle Web :

1. Annonce publique d’une vulnérabilité
2. Publication des correctifs par l’éditeur
3. Analyse des correctifs par les attaquants pour identifier les modifications exactes
4. Développement d’exploits ciblant les versions non corrigées
5. Intégration dans des kits d’exploitation automatisés

Le botnet Mirai, initialement découvert en 2016, a connu de nombreuses itérations. Sa capacité à infecter les dispositifs IoT en exploitant les identifiants par défaut en a fait l’une des menaces DDoS les plus puissantes. L’évolution vers des variantes exploitant des vulnérabilités dans les panneaux de contrôle Web расширя sa surface d’attaque de manière significative.

Les menaces de type Rowhammer sur GPU illustrent comment les attaquants ciblent desormais les composants materiels pour maximiser l’impact de leurs campagnes.

Le ransomware Sorry, pour sa part, représente une évolution dans les tactiques de chiffrement ciblant les environnements d’hébergement partagé. Contrairement aux ransomwares ciblant principalement les postes de travail, Sorry exploite les vulnérabilités de cPanel pour chiffrer les données directement sur les serveurs d’hébergement, maximisant l’impact sur les victimes.

Aucune preuve d’exploitation active n’a été documentée à ce jour pour les trois vulnérabilités spécifiques (CVE-2026-29201, CVE-2026-29202, CVE-2026-29203). Cependant, le contexte de menace actuel - caractérisé par des délais d’exploitation de plus en plus courts - justifie une реакция immediate.

Guide de mise à jour : procédures recommandées pour les administrateurs

La mise à jour de cPanel et WHM doit être menée avec méthode pour éviter toute interruption de service. Voici une procédure en étapes permettant de sécuriser votre infrastructure tout en minimisant les risques opérationnel.

Étape 1 - Audit de votre version actuelle

Avant toute action, identifiez la version exacte de cPanel installées sur vos serveurs. Connectez-vous à WHM et accédez à la section « Server Status » puis « cPanel Version ». Vous pouvez également utiliser la commande suivante via SSH :

/usr/local/cpanel/cpanel -V

Cette commande retourne la version complète incluant le niveau de build. Comparez ce numéro avec la liste des versions corrigées mentionnées précédemment.

Étape 2 - Planification de la fenêtre de maintenance

Bien que la mise à jour de cPanel soit généralement fiable, il est recommandé de :

• Planifier la mise à jour pendant une période de faible activité
• Informer les utilisateurs hébergés d’une maintenance prévue
• Disposer d’un accès de secours (console de dépannage) en cas de problème
• Sauvegarder la configuration actuelle via l’outil WHM Backup

Étape 3 - Exécution de la mise à jour via WHM

La méthode la plus simple pour les administrateurs familiarisés avec l’interface WHM :

1. Connectez-vous à WHM avec les identifiants root
2. Accédez à la section « cPanel » puis « Upgrade to Latest Version »
3. Cliquez sur « Update » pour lancer la procédure
4. Surveillez les logs de mise à jour pour détecter toute anomalie

Étape 4 - Mise à jour par ligne de commande

Pour les environnements automatisés ou les configurations headless :

# Mise à jour via SSH en tant que root
/usr/local/cpanel/scripts/upcp --force

# Vérification post-mise à jour
/usr/local/cpanel/cpanel -V

L’option --force force une vérification complète des mises à jour disponibles et leur installation. Pour les environnements en cluster, répétez cette opération sur chaque nœud.

Étape 5 - Vérification post-mise à jour

Après la mise à jour, vérifiez :

• Que tous les services (Apache/Nginx, MySQL/MariaDB, DNS) redémarrent correctement
• Que les sites hébergés sont accessibles
• Que les logs ne contiennent pas d’erreurs inhabituelles
• Que la version affichée correspond à une version corrigée

Gestion des versions obsolètes (CentOS 6 / CloudLinux 6)

Pour les environnements encore sous CentOS 6 ou CloudLinux 6, la mise à jour vers la version 110.0.114 peut être effectuée via :

# Mise à jour spécifique pour distributions en fin de vie
/usr/local/cpanel/scripts/upcp --force --force-to-stable

Il est fortement recommandé de planifier une migration vers une distribution Linux supported dès que possible. Ces systèmes ne reçoivent plus de correctifs de sécurité au niveau du système d’exploitation, ce qui crée un risque résiduel même après la mise à jour de cPanel.

Bonnes pratiques de sécurité continues pour les environnements cPanel

La mise à jour d’urgence ne constitue qu’une étape dans une stratégie de sécurité globale. Les administrateurs d’environnements cPanel doivent intégrer plusieurs pratiques complémentaires pour maintenir un niveau de sécurité optimal.

Activation des mises à jour automatiques : WHM permet de configurer les mises à jour automatiques pour les releases de sécurité. Dans la section « cPanel » puis « Update Preferences », sélectionnez l’option permettant d’appliquer automatiquement les correctifs de sécurité critiques.

Segmentation des privilèges : Limitez le nombre de comptes disposant de privilèges root sur WHM. Les utilisateurs administrateurs devraient disposer uniquement des permissions strictement nécessaires à leurs fonctions.

Monitoring des accès : Activez la journalisation détaillée des accès à l’interface WHM et configurez des alertes pour les connexions depuis des adresses IP inhabituelles ou géographique non standard.

Audit régulier des comptes : Vérifiez périodiquement la liste des comptes cPanel actifs et supprimez les comptes orphelins ou non utilisés. Chaque compte représente une surface d’attaque potentielle.

Protection des fichiers de configuration : Les fichiers de configuration cPanel (cpanel.config,WHM config) contiennent des informations sensibles. Assurez-vous que leurs permissions sont restrictives (chmod 600) et que leur accès est журналируем.

Conclusion : l’inaction n’est pas une option face aux vulnérabilités cPanel

Les trois vulnérabilités identifiées dans cPanel et WHM - CVE-2026-29201, CVE-2026-29202 et CVE-2026-29203 - représentent un risque concret pour toute infrastructure d’hébergement. Les scores CVSS élevés des faille CVE-2026-29202 et CVE-2026-29203 (8.8), combinés à la ease d’exploitation documentée,CALL que les administrateurs ne peuvent se permettre d’ignorer ces alertes.

Le contexte de menace actuel - avec l’apparition récente du ransomware Sorry et de nouvelles variantes du botnet Mirai exploitant des failles similaires - transforme cette mise à jour en priorité absolue. Le délai entre la publication des correctifs et l’exploitation active des vulnérabilités se raccourcit continuellement. Dans ce contexte, chaque heure d’inaction augmente le risque de compromission.

La procédure de mise à jour, détaillée précédemment, est conçue pour minimiser les perturbations tout en assurant une correction complète. Pour les environnements utilisant des versions antérieures à 11.86.0.43, la mise à jour doit être effectuée immédiatement, même si cela implique une fenêtre de maintenance non planifiée. Le coût d’une compromission - en termes de données perdues, de temps de restoration et d’impact réputationnel - dépasse largement celui d’une interruption de service contrôlée.

Les vulnérabilités cPanel traitées dans cet article rappellent que la sécurité des environnements d’hébergement ne peut être reléguée à une préoccupation secondaire. La surface d’exposition, le niveau de privilège potentiellement acquis par un attaquant et les données sensibles transitant par ces systèmes justifient une vigilance permanente. Mettez à jour vos systèmes maintenant, puis planifiez une révision complète de vos procédures de gestion des correctifs de sécurité.