Ulteriori vulnerabilità critiche rilevate in cPanel: aggiornare di nuovo è obbligatorio (aggiornato: 19 maggio 2026, ore 07:20)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 1 ora fa
- Pubblicato: 41 minuti fa
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Maggio 2026 si sta rivelando un mese difficile per cPanel, il pannello di controllo che gestisce oltre 70 milioni di domini in tutto il mondo. Dopo la devastante vulnerabilità CVE-2026-41940 - un bypass di autenticazione con punteggio CVSS 9.8, sfruttato attivamente come zero-day fin da febbraio - cPanel ha rilasciato due tornate di patch di sicurezza in meno di una settimana, l'8 e il 13 maggio. Il quadro che emerge è quello di una piattaforma sottoposta a un'intensa revisione del codice, dalla quale continuano ad affiorare falle significative. Per chi gestisce un sito personale o una piccola attività su hosting condiviso, il messaggio è semplice: aggiornare è urgente.
Patch dell'8 maggio: tre falle, due ad alta gravità
Il primo blocco di aggiornamenti ha corretto tre vulnerabilità su tutte le versioni supportate di cPanel & WHM, dalla 136 alla 86. Due di queste presentano un punteggio CVSS di 8.8.
CVE-2026-29202 è un'iniezione di codice Perl nella chiamata API create_user, attraverso il parametro plugin. La validazione insufficiente del parametro consente a un utente autenticato con privilegi bassi di eseguire codice Perl arbitrario nel contesto del proprio utente di sistema. L'impatto su riservatezza, integrità e disponibilità è classificato come alto.
CVE-2026-29203 riguarda una gestione non sicura dei link simbolici (CWE-61): un utente può sfruttare l'errore per eseguire chmod su file arbitrari, con possibilità di denial of service e scalata di privilegi. Anche qui il punteggio CVSS è 8.8.
La terza vulnerabilità, CVE-2026-29201, è una lettura arbitraria di file tramite la chiamata adminbin feature::LOADFEATUREFILE. Un percorso relativo passato come argomento può rendere leggibile a tutti un file arbitrario sul sistema. Il punteggio CVSS è 4.3 - impatto limitato alla riservatezza, e comunque richiede un utente autenticato con privilegi bassi. Non si tratta di una vulnerabilità pre-autenticazione.
Patch del 13 maggio: un secondo gruppo di CVE
Cinque giorni dopo, cPanel ha rilasciato una seconda tornata di correzioni che include CVE-2026-29205, CVE-2026-29206, CVE-2026-32991, CVE-2026-32992 e CVE-2026-32993. Per nessuna di queste vulnerabilità sono stati pubblicati dettagli tecnici, punteggi CVSS o descrizioni del tipo di falla. Esistono, sono state corrette, e per ora finisce qui.
L'assenza di informazioni è un'arma a doppio taglio. La divulgazione ritardata dei dettagli può rallentare lo sviluppo di exploit, ma lascia anche gli amministratori di sistema nell'impossibilità di valutare con precisione il rischio. In un contesto in cui cPanel è appena uscito da un incidente con decine di migliaia di server compromessi, trattare ogni patch come urgente è l'unica scelta sensata.
Chi deve preoccuparsi e cosa fare
L'ecosistema cPanel è enorme e variegato. Chi utilizza hosting gestito può tirare un parziale sospiro di sollievo: provider come InMotion Hosting hanno confermato il rilascio automatico delle patch negli ambienti gestiti. Chi invece opera su VPS o server dedicati in modalità self-managed deve intervenire manualmente, eseguendo lo script di aggiornamento:
/scripts/upcp
Il Centre for Cybersecurity Belgium (CCB) ha emesso il 12 maggio un avviso che raccomanda l'applicazione delle patch con la «massima priorità» dopo un adeguato periodo di test, suggerendo inoltre di potenziare le capacità di monitoraggio e rilevamento.
Le versioni interessate dalla prima tornata di patch coprono un arco amplissimo: dalla 11.136.0.8 in giù fino alla 11.86.0.42 e precedenti. Qualsiasi installazione di cPanel & WHM non aggiornata dopo l'8 maggio è potenzialmente vulnerabile ad almeno tre falle documentate, di cui due con gravità alta.
Il quadro d'insieme
Il susseguirsi di vulnerabilità in cPanel nel giro di poche settimane racconta una storia che va oltre le singole CVE. Il precedente incidente CVE-2026-41940 ha innescato un ciclo di audit intensivi che stanno portando alla luce problemi rimasti silenti probabilmente per anni.
» Leggi: Vulnerabilità gravissima in cPanel e WHM: aggiornare immediatamente è obbligatorio (CVSS 9.8)
È un pattern noto nella sicurezza informatica: quando si inizia a cercare seriamente, si trova.
Per i piccoli operatori - chi gestisce il sito della propria attività, un blog personale, un progetto hobbistico - il rischio concreto è delegare la sicurezza al provider senza mai verificare che le patch siano effettivamente applicate. In un ecosistema dove un singolo pannello di controllo governa decine di milioni di domini, ogni vulnerabilità ha un raggio d'azione potenzialmente enorme. Controllare la versione installata del proprio cPanel non è un optional: è manutenzione ordinaria.
