cPanel heeft updates vrijgegeven voor cPanel en Web Host Manager (WHM) die drie kwetsbaarheden verhelpen. Deze kwetsbaarheden kunnen worden misbruikt voor privilege-escalatie, het uitvoeren van willekeurige code en denial-of-service aanvallen.

De eerste kwetsbaarheid, CVE-2026-29201 (CVSS-score 4.3), betreft onvoldoende inputvalidatie van de bestandsnaam in de "feature::LOADFEATUREFILE" adminbin-aanroep, wat kan leiden tot het lezen van willekeurige bestanden. De tweede, CVE-2026-29202 (CVSS-score 8.8), betreft onvoldoende inputvalidatie van de "plugin" parameter in de "create_user API" aanroep, waardoor een aanvaller Perl-code kan uitvoeren namens een reeds geauthenticeerde systeemgebruiker. De derde kwetsbaarheid, CVE-2026-29203 (CVSS-score 8.8), betreft onveilige symlink-afhandeling waardoor een gebruiker met chmod de toegangsrechten van een willekeurig bestand kan wijzigen, wat kan leiden tot denial-of-service of privilege-escalatie.

De kwetsbaarheden zijn opgelost in diverse versies van cPanel en WHM, waaronder 11.136.0.9 en hoger, en er is een directe update 110.0.114 beschikbaar voor klanten die nog gebruikmaken van CentOS 6 of CloudLinux 6. Gebruikers worden dringend geadviseerd hun systemen zo snel mogelijk bij te werken naar de nieuwste versies om optimale bescherming te garanderen. Hoewel er geen aanwijzingen zijn dat deze kwetsbaarheden al in het wild zijn misbruikt, volgt deze melding kort na de uitbuiting van een andere kritieke kwetsbaarheid (CVE-2026-41940) die werd ingezet voor het verspreiden van Mirai-botnetvarianten en de ransomware Sorry.