cPanel／WHM の脆弱性 CVE-2026-29201／29202／29203 が FIX：コード実行や DoS 攻撃の可能性

New cPanel and WHM Flaws Enable Code Execution, DoS Attacks

2026/05/10 CyberSecurityNews — cPanel & WHM および WP Squared に影響を及ぼす、3 件の Critical なセキュリティ脆弱性 CVE-2026-29201／CVE-2026-29202／CVE-2026-29203 が公開された。これらの欠陥を突く攻撃者は、任意のファイル読み取り／Perl コード・インジェクション／サービス拒否 (DoS) 攻撃を可能にする。すでに、 2026年5月8日の時点で修正されているため、ホスティング・プロバイダーおよびサーバ管理者にとって、即時のパッチ適用が必須となっている。

2026年4月には、別の cPanel 脆弱性 CVE-2026-41940 が実際に悪用され、ログイン機構を完全に回避する攻撃が生じている。

CVE-2026-29201

パス・トラバーサルによる任意ファイル読み取り

最初の脆弱性は “feature::LOADFEATUREFILE adminbin” 呼び出しに存在する、feature ファイル名パラメータの検証不備に起因する。相対パスを引数として渡す攻撃により、サーバ上の任意のファイル読み取り可能な状態になる。この種のパス・トラバーサルにより、設定ファイル／認証情報／秘密鍵などの機密データが露出するため、さらなる侵害の足がかりとなる。

CVE-2026-29202

ユーザー作成 API における Perl コード・インジェクション

2 つ目の深刻な脆弱性は、create_user API の plugin パラメータに関連する Perl コード・インジェクションの欠陥である。入力が適切に無害化されない場合に、攻撃者による任意の Perl コードの注入と実行に至る。この種のリモートコード実行 (RCE) は最大級のリスクを持ち、サーバ完全乗っ取り、データ流出、マルウェアやバックドアの展開を可能にする。

CVE-2026-29203

不安全なシンボリックリンク処理

3 つ目の脆弱性は、不適切なシンボリックリンク処理に起因し、任意のファイルに対する chmod 操作を許可する。この問題により、システム動作が妨害され、DoS 状態を引き起こされる可能性がある。その他の脆弱性と組み合わせることで、権限昇格や不正管理アクセスにつながる。

影響バージョンと修正リリース

3 件の脆弱性が影響を及ぼす範囲は、cPanel & WHM の共通のバージョンとなる。すべてのアクティブ・ブランチに対して、cPanel はパッチを提供している。

管理者は、以下のいずれかのバージョンへと更新する必要がある：

11.136.0.9／11.134.0.25／11.132.0.31／11.130.0.22／11.126.0.58／11.124.0.37／11.118.0.66／11.110.0.116／11.110.0.117／11.102.0.41／11.94.0.30／11.86.0.43

WP Squared ユーザーは、11.136.1.11 以降へと更新する必要がある：

また、CentOS 6 と CloudLinux 6 を使用するサーバは、以下コマンドでアップグレード tier を設定した後に、バージョン 11.110.0.116 へと更新できる：

sed -i “s/CPANEL=.*/CPANEL=cl6110/g” /etc/cpupdate.conf

パッチ適用方法

管理者は、以下の強制アップデート・スクリプトの実行による更新も可能である：

/scripts/upcp –force

完了後に、以下コマンドでインストール・バージョンを確認する：

/usr/local/cpanel/cpanel -V

表示されたバージョンと、修正済みリリースとの一致を確認する必要がある。

今回の脆弱性 CVE-2026-29202 はコード実行を可能にし、CVE-2026-29203 は権限昇格の入口となる。複数テナントが同一サーバで動作する共有ホスティング環境において、これらの脆弱性は深刻なリスクとなる。

未パッチの cPanel を運用するホスティング事業者は、横展開およびサーバ完全侵害の重大なリスクに晒され続ける。管理者にとって必要なことは、遅延なくパッチを適用して、サーバログを確認し、侵害の兆候がないことを監査することである。

訳者後書：Web サーバ管理ツール cPanel & WHM および WP Squared に、3 件の深刻な脆弱性が発見されました。問題の原因は、外部からの入力データに対する不十分な検証や、ファイル操作における不適切なルールなどにあります。これらの脆弱性は、複数のユーザーが 1台のサーバーを共有するホスティング環境において、隣のユーザーのデータに干渉するなど、基盤の安全性を揺るがすものとなっています。ご利用のチームは、ご注意ください。よろしければ、cPanel での検索結果も、ご参照ください。