CPanel 黑色周:44k 服务器遭受攻击后修复了 3 个新漏洞
一句话看懂:在4月底因高危认证绕过漏洞导致44000台服务器被勒索软件攻陷后,cPanel在10天内连续发布第二次紧急安全更新,修复了三个新漏洞。这并非偶然,而是大规模安全事故后深度代码审计的必然结果,意味着使用cPanel/WHM的服务商和站长存在持续暴露风险。
事件核心:发生了什么
2026年4月28日,cPanel针对编号CVE-2026-41940的认证绕过漏洞(CVSS 9.8,极端严重)发布紧急补丁。该漏洞允许未经认证的远程攻击者获取cPanel和WHM的管理权限,早在当年2月底就已被利用,攻击者通过此漏洞破坏了至少44000台运行cPanel的服务器,并部署了名为“Sorry”的基于Go语言的Linux勒索软件。
仅仅10天后,5月8日,cPanel再次发布技术安全更新(TSR),覆盖三个新漏洞:CVE-2026-29201(CVSS 4.3,中等严重)、CVE-2026-29202(CVSS 8.8,高严重)、CVE-2026-29203(CVSS 8.8,高严重)。其中,CVE-2026-29202允许已认证用户在共享服务器上通过API注入并执行任意Perl代码,风险极高;CVE-2026-29203则利用不安全符号链接实现权限提升或服务拒绝。
为什么重要
这次事件凸显了安全修复的“连锁效应”:初始的严重漏洞被利用后,cPanel在压力下启动了加速代码审查,而审查又发现了更多原本未被优先处理的隐患。10天内两次紧急补丁发布,对于一家控制全球大量Web托管服务器的控制面板厂商而言极不寻常,反映了信息安全领域一个经典规律——高知名度攻击之后,随之而来的是更深层的攻击面暴露。对于依赖cPanel的主机商而言,只看单一漏洞的CVSS分数(如CVE-2026-29202和29203均为8.8,并非满分)可能低估风险,因为这两个漏洞可以与攻击链结合:先用代码执行创建符号链接,再利用权限提升取得更深层访问。
对用户/开发者/创作者的影响
对服务器管理员和主机商:首要影响是必须将此次补丁的优先级提升至与初始认证绕过漏洞同等级。即使漏洞需要认证,在共享主机环境中任何账号持有者都可能是潜在攻击者,一旦被攻破,可能导致整台服务器被控制。建议立即向所有客户发出安全公告,缩短更新窗口。
对共享主机租户(网站拥有者):如果所在主机服务商不及时打补丁,您的网站数据和用户信息可能因同服务器其他用户被攻破而泄露。应主动联系主机商确认是否已应用5月8日发布的补丁。
对开发者:此次事件说明,对于控制面板类的底层软件,单一认证漏洞往往不是终点。建议将安全补丁的监控周期从按月改为按周,特别是在大规模攻击事件发生后的一至两个月内。
值得关注的后续
1. 是否存在更多未披露漏洞?cPanel的深度审计是否已进入尾声,还是仍有更多高危“候诊”漏洞将在未来数周内陆续曝光,是当前最大的不确定性。
2. 业界的补丁普及速度:上次认证绕过漏洞攻击了44000个独立IP地址,但实际运行cPanel的服务器数量远高于此。有多少服务商仍运行未打补丁的版本,将成为判断整体安全风险的关键指标。
3. 勒索软件“Sorry”的后续活动:这类Go语言编写的Linux加密器通常具备跨平台或快速变异能力,攻击者是否会在cPanel之外的平台(如DirectAdmin、ISPConfig)尝试利用类似技术,值得安全社区跟踪。
