O cPanel publicou adesivos para três falhas de segurança no cPanel & WHM que, em diferentes cenários, permitem desde a leitura arbitrária de arquivos até a execução remota de código e a modificação indevida de permissões por ligações simbólicas. Embora ainda não haja provas públicas de exploração em massa dessas três vulnerabilidades, sua presença em um software tão estendido em hospedagem compartilhado torna qualquer atraso na atualização em um risco real para fornecedores e clientes.
As três falhas identificadas (CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203) cobrem vetores distintos: uma insuficiente validação de nomes de arquivos que pode conduzir a leitura arbitrária, uma validação insegura do parâmetro “plugin” que permite execução de código Perl no contexto do usuário já autenticado, e um manejo inseguro de symlinks que possibilita mudar permissões com chmod sobre arquivos alheios. Estas combinadas representam um risco elevado em ambientes multiutilizados, onde um atacante com acesso limitado pode escalar privilégios ou interromper serviços de outros clientes.
Por que é grave em hospedagem compartilhada? Em servidores onde coexistem dezenas ou centenas de contas, uma vulnerabilidade que permita execução de código sob o usuário do sistema ou manipulação de permissões pode se transformar rapidamente em compromisso de múltiplos sites, criação de máquinas zumbis (por exemplo para Mirai) ou porta de entrada para ransomware. O recente histórico de exploração de falhas em cPanel por atores que distribuíram variantes de Mirai e ransomware reforça a urgência de adesivos e monitorar os sinais de compromisso.
cPanel incluiu estas correções nos ramos de produto publicados recentemente; além disso, ofereceu uma atualização pontual (110.0.114) para clientes que ainda executam CentOS 6 ou CloudLinux 6. Se você administra servidores com cPanel/WHM, você deve verificar a versão instalada e aplicar as atualizações oficiais quanto antes. Para instruções de atualização e versões suportadas revisa a documentação oficial do cPanel em https://docs.cpanel.net/ e as notícias da equipe https://news.cpanel.com/.
Medidas imediatas recomendadas: atua primeiro com adesivos; se você não puder aplicar o update por compatibilidade ou janelas de manutenção, mitigando bloqueando o acesso aos portos administrativos (2082/2083/2086/2087) da Internet, restringindo WHM/cPanel a IPs de administração por firewall, desativando APIs expostas desnecessárias e aplicando regras WAF/ModSecurity para proteger entradas conhecidas. Considera também desactivar temporariamente módulos de terceiros ou plugins não essenciais até verificar a sua segurança.
Além de atualizar, realiza uma revisão forense básica: busca processos incomuns, conexões salientes persistentes, arquivos com permissões alterados, cronjobs desconhecidos e atividade em logs de cPanel/WHM. Se você gerencia clientes, informa com transparência sobre a mitigação aplicada e recomenda restabelecer credenciais sensíveis (contranhas, chaves API). Para orientações sobre gestão de vulnerabilidades e boas práticas, você pode consultar recursos do NVD em https://nvd.nist.gov/ e guias de resposta a incidentes em sites oficiais.
O que vigiar no curto prazo: tentativas de autenticação anómala, chamadas a APIs administrativas de contas de hospedagem, scripts ou binários Perl não- padrão executando-se como usuários de contas, e modificações de permissões por symlinks. Os indicadores precoces que sugerem exploração podem ser peaks de CPU/uso de rede, processos como downloads ou scanners e criação de artefatos associados a botnets ou ransomware.
No plano organizacional, prioriza aplicar adesivos em ordem de criticidade e visibilidade: primeiro servidores de produção expostos e nodos que alojam múltiplos clientes. Mantenha um calendário de atualizações e teste os adesivos em ambientes staging quando possível para evitar interrupções inesperadas. Finalmente, documenta as ações tomadas e comunica a stakeholders para manter a confiança: a rapidez e transparência são fundamentais diante de vulnerabilidades em infraestruturas compartilhadas.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...