Vulnérabilités critiques dans cPanel et WHM : 3 failles à corriger d'urgence

Chaque jour, des millions de serveurs web à travers le monde s’appuient sur cPanel et Web Host Manager (WHM) pour simplifier l’administration de leurs environnements d’hébergement. Le 9 mai 2026, l’éditeur a publié des correctifs urgents corrigeant trois vulnérabilités distinctes, dont deux affichent un score CVSS de 8.8 sur 10 - un niveau qui classe ces failles dans la catégorie des risques élevés. Ces vulnérabilités exposent les serveurs concernés à une escalade de privilèges, à une exécution de code arbitraire et à des attaques par déni de service. Face à ces menaces, chaque minute compte : les administrateurs qui attendent бездействуют et exposent leur infrastructure à un risque accru. Comprenez en détail la nature de ces failles, leur impact réel et la procédure de mise à jour recommandée pour protéger vos environnements dès maintenant.

Comprendre les trois vulnérabilités cPanel et WHM corrigées en mai 2026

Les trois vulnérabilités identifiées par cPanel affectent des composantes différentes du panneau de contrôle, mais partagent un point commun majeur : elles exploitent des vérifications insuffisantes des entrées utilisateur pour contourner les mécanismes de sécurité normally en place. Avant d’aborder chaque faille individuellement, revenons sur l’architecture de sécurité de cPanel et sur les raisons pour lesquelles ces vulnérabilités représentent une menace sérieuse pour tout hébergeur utilisant ce logiciel.

cPanel et WHM constituent la pierre angulaire de la gestion d’un grand nombre de sites web sur un même serveur. Ils contrôlent la création de comptes utilisateurs, la gestion des domaines, l’attribution des ressources et l’accès aux fichiers système. Une faille dans ce panneau de contrôle équivaut à une faille dans le cœur de l’infrastructure d’hébergement. C’est précisément ce qui rend ces vulnérabilités particulièrement préoccupantes pour les administrateurs système et les responsables de la sécurité informatique en France.

CVE-2026-29201 - Lecture arbitraire de fichiers via une validation insuffisante

La première vulnérabilité, référencée CVE-2026-29201, présente un score CVSS de 4.3, ce qui la classe dans la catégorie des risques modérés. Elle réside dans une validation insuffisante du nom de fichier de fonctionnalité lors de l’appel adminbin “feature::LOADFEATUREFILE”. Concrètement, un utilisateur authentifié peut manipuler ce paramètre pour accéder à des fichiers système sensibles qu’il ne devrait pas être en mesure de lire.

Cette faille permet la lecture de fichiers arbitraires sur le serveur. Un attaquant ayant accès à un compte cPanel - même avec des privilègeslimitės - pourrait exploiter ce mécanisme pour consulter le contenu de fichiers de configuration contenant des credentials, des clés API ou des données sensibles stockées sur le serveur. Selon les principes de l’ANSSI en matière de défense en profondeur, une vulnérabilité de lecture de fichiers peut sembler mineure, mais elle constitue souvent le premier pas vers une compromission plus large lorsqu’elle est combinée à d’autres failles.

Dans la pratique, un attaquant déterminė pourrait reconstituer l’architecture du serveur, identifier les points faibles et planifier des attaques complémentaires. La sévérité modérée du CVSS ne doit donc pas induire en erreur : cette vulnérabilité mérite une attention immédiate dans tout plan de补丁 management.

CVE-2026-29202 - Exécution de code Perl arbitraire via l’API create_user

La deuxième vulnérabilité, CVE-2026-29202, atteint un score CVSS de 8.8 sur 10. Elle concerne une validation insuffisante du paramètre “plugin” dans l’appel API “create_user” de cPanel. Cette faille permet à un utilisateur déjà authentifié d’exécuter du code Perl arbitraire en utilisant le système de plugin de l’API.

Cette vulnérabilité est particulièrement préoccupante car elle exploite une fonctionnalité légitime et documentée de cPanel pour des fins malveillantes. L’attaquant n’a pas besoin d’injecter du code via une faille d’injection classique - il abuse du comportement normal du système pour exécuter des commandes avec les privilèges du compte système sous-jacent.

En pratique, un compte email ou FTP disposant de permissions limitées pourrait potentiellement escalader vers un accès root complet sur le serveur. Cette escalade de privilèges constitue le scénario cauchemar pour tout hébergeur. Elle transform un simple compte compromis en point d’entrée vers l’ensemble de l’infrastructure serveur, permettant à l’attaquant de déployer des charges utiles malveillantes, de modifier des sites web hébergés ou d’utiliser le serveur comme base pour des attaques ultérieures.

CVE-2026-29203 - Manipulation de liens symboliques et modification des permissions

La troisième vulnérabilité, CVE-2026-29203, partage le même score de sévérité que la précédente (CVSS 8.8). Elle réside dans un traitement non sécurisé des liens symboliques (symlinks) qui permet à un utilisateur de modifier les permissions d’accès d’un fichier arbitraire via la commande chmod. Cette manipulation peut provoquer un déni de service ou une escalade de privilèges selon le contexte d’exploitation.

L’exploitation de CVE-2026-29203 illustre le danger des liens symboliques mal sécurisés sur un système partagé. Un attaquant pourrait exploiter un lien symbolique créé par un utilisateur malveillant pour modifier les permissions d’un fichier système critique, causant un déni de service ou une escalade de privilèges.

Tableau comparatif des trois vulnérabilités cPanel mai 2026

Ce tableau met en évidence la progression de la sévérité à travers les trois vulnérabilités. Si CVE-2026-29201 peut sembler modérée, les deux autres failles atteignent un niveau de risque élevé qui justifie une реакция immédiate et coordonnée de la part des équipes techniques.

Contexte de publication : pourquoi maintenant ?

Bien qu’il n’existe pas de preuve d’exploitation active pour ces trois vulnérabilités, leur publication intervient peu après une faille critique distincte qui a été activement exploitée par des acteurs malveillants. Cette séquence d’incidents met en lumière la valeur stratégique des panneaux de contrôle web comme cPanel pour les attaquants motivated par le profit ou l’espionnage.

Un serveur compromis via cPanel offre un accès immédiat à des milliers de sites web et domaines. Il devient un actif précieux pour les botnets, les campagnes de phishing ou le minage de cryptomonnaie. Dans le contexte réglementaire français, une telle compromission peut entraîne des sanctions au titre du RGPD si des données personnelles de clients sont exposées, et des obligations de notification à la CNIL dans un délai de 72 heures.

L’exploitation активная d’une vulnérabilité dans un panneau de contrôle web peut transformer un serveur d’hébergement en infrastructure d’attaque, affectant des centaines de sites web simultanément. La responsabilité des hébergeurs est engagée à la fois vis-à-vis de leurs clients directs et des utilisateurs finaux des sites hébergés.

Cette réalité impose aux hébergeurs français de maintenir une veille de sécurité active et des procédures de реакция aux incidents rodées. L’équation est simple : chaque jour sans correctif увеличивает la fenêtre d’exposition et le risque de compromission.

Versions affectées et procedure de mise à jour

cPanel a publié des correctifs pour toutes les versions actuellement prises en charge. Les администраateurs doivent impérativement vérifier la version installée sur leurs serveurs et appliquer la mise à jour correspondante. Voici le tableau des versions corrigées pour cPanel et WHM :

• 11.136.0.9 et versions supérieures
• 11.134.0.25 et versions supérieures
• 11.132.0.31 et versions supérieures
• 11.130.0.22 et versions supérieures
• 11.126.0.58 et versions supérieures
• 11.124.0.37 et versions supérieures
• 11.118.0.66 et versions supérieures
• 11.110.0.116 et versions supérieures
• 11.110.0.117 et versions supérieures
• 11.102.0.41 et versions supérieures
• 11.94.0.30 et versions supérieures
• 11.86.0.43 et versions supérieures

Pour WP Squared, la version minimale corrigée est la 11.136.1.10. Les utilisateurs仍在 sur des systèmes CentOS 6 ou CloudLinux 6 doivent impérativement mettre à jour vers la version spécifique 110.0.114, publiée,专门ement pour ces environnements en fin de vie.

Procédure de mise à jour recommandée

1. Identifier la version actuelle via l’interface WHM (section « Server Status ») ou en exécutant la commande /usr/local/cpanel/cpanel -V en SSH.
2. Consulter le chemin de migration correspondant à votre version actuelle dans la documentation officielle cPanel.
3. Lancer la mise à jour via WHM (chemin : Home > cPanel > Upgrade to Latest Version) ou via la ligne de commande avec /scripts/upcp.
4. Vérifier l’application du correctif en consultant le fichier /var/cpanel/versionnotice après le redémarrage des services.
5. Contrôler les logs pour détecter tout comportement anormal durant le processus de mise à jour.

La mise à jour via WHM est la méthode recommandée pour les administrateurs managing plusieurs serveurs depuis une interface centralisée. Elle permet de suivre l’avancement de la migration et de détecter précocement d’éventuelles erreurs de configuration post-mise à jour.

Mesures de hardening complémentaires après la mise à jour

L’application du correctif cPanel ne constitue qu’une première couche de défense. Pour obtenir une posture de sécurité robuste, il convient de renforcer дополнительно la configuration du serveur après la mise à jour.

• Vérifier les permissions des fichiers systemiques critiques (/etc/shadow, /etc/passwd) pour s’assurer qu’ils ne sont accessibles qu’à l’utilisateur root.
• Inspecter les scripts de migration pour détecter d’éventuels liens symboliques malveillants datant d’avant l’application du correctif.
• Examiner les répertoires utilisateurs à la recherche de liens symboliques suspects qui pourraient avoir été exploités via CVE-2026-29203.
• Consolider les permissions des exécutables setuid/setgid pour éliminer tout risque d’escalade via la manipulation de chmod.

Les ссылкы symboliques representan un vecteur d’attaque particulièrement insidieux dans les environnements d’hébergement partagé. Un lien symbolique créé dans un répertoire utilisateur peut être manipulé pourpointer vers un fichier système critique et permettre une modification non autorisée de ses permissions.

Mesures compensatoires si la mise à jour immédiate est impossible

Si la mise à jour ne peut pas être appliquée dans l’immédiat pour des raisons opérationnelles, des mesures temporaires permettent de réduire le risque en attendant le déploiement du correctif.

1. Restreindre l’accès à l’API cPanel pour les utilisateurs non-root via lesparamètres de sécurité de WHM, en désactivant les appels adminbin non essentiels.
2. Limiter les permissions des utilisateurs sur les fichiers système via des règles de préventtion au niveau du pare-feu système.
3. Mettre en place une surveillance renforcée des logs d’authentification pour détecter tout comportement suspect lié à l’API create_user.
4. Activer l’authentification à deux facteurs (2FA) pour tous les comptes cPanel et WHM, réduisant ainsi le risque qu’un compte compromis soit exploité pour l’exploitation de CVE-2026-29202.
5. Contrôler l’accès réseau au panneau de contrôle via un pare-feu applicatif, en limitant les IPs autorisées à accéder aux ports 2082-2083 et 2086-2087.

Ces mesures compensatoires ne constituent pas une替代 à la mise à jour, mais permettent de gagner du temps en réduisant la surface d’exposition durant la fenêtre de vulnérabilité.

Impact sur les environnements d’hébergement partagé en France

En France, de nombreux hébergeurs utilisent cPanel et WHM pour gérer des parkings de domaines et des environnements d’hébergement mutualisé. Les vulnérabilités corrigées en mai 2026 touchent directement ces environnements, où des centaines voire des milliers de sites partagent les mêmes ressources serveur.

Un attaquant exploitant CVE-2026-29202 sur un serveur d’hébergement partagé pourrait accéder non seulement au compte de l’utilisateur initial, mais également à l’ensemble des sites hébergés sur le serveur. Cette perspective souligne l’importance critique de maintenir les panneaux de contrôle à jour dans les environnements mutualisés, où la faille d’un seul client peut compromettre la sécurité de tous les autres.

Les hébergeurs concernés ont l’obligation contractuelle et légale de garantizar un niveau de sécurité minimal à leurs clients. En cas de compromission résultant d’une vulnérabilité connue et corrigée, la responsabilité de l’hébergeur pourrait être engagée, tant sur le plan civil que réglementaire. La directive NIS2 et sa transcription en droit français renforcent encore cette obligation de sécurité pour les acteurs de l’hébergement.

Conclusion : le temps presse pour les administrateurs cPanel

Les trois vulnérabilités corrigées par cPanel en mai 2026 rappellent une vérité fondamentale de la sécurité informatique : même les solutions les plus éprouvées et les plus répandues ne sont pas à l’abri de failles. La surface d’attaque des panneaux de contrôle web en fait des cibles privilégiées pour les acteurs malveillants, qui investissent activement dans la recherche de vulnérabilités exploitables à grande échelle.

La réaction face à ces vulnérabilités doit être immédiate et systématique. Chaque heure qui passe sans correctif représente un risque accru de compromission, en particulier dans un contexte où les techniques d’exploitation se sophistiquent et où les délais de reacción aux vulnérabilités critiques se réduisent. La mise à jour des environnements cPanel et WHM n’est pas une option : c’est une nécessité impérative pour protéger vos serveurs, vos données et celles de vos clients.

Lancez dès maintenant la vérification de vos versions installées et planifiez la mise à jour de vos environnements sans délai supplémentaire.