cPanel và WHM đang đối mặt với một loạt lỗ hổng CVE nghiêm trọng, ảnh hưởng trực tiếp đến môi trường hosting chia sẻ. Các bản cập nhật bảo mật gần đây tập trung vá nhiều lỗi có thể dẫn đến remote code execution, đọc tệp tùy ý, từ chối dịch vụ và lạm dụng tài khoản hệ thống.
Lỗ hổng CVE trong cPanel và WHM
Trong nhóm lỗ hổng CVE vừa được công bố, mã CVE-2026-29202 là một điểm đáng chú ý với CVSS 8.8. Lỗi này xuất phát từ việc kiểm tra đầu vào không đầy đủ đối với tham số plugin trong lệnh gọi API create_user.
Nếu bị khai thác, kẻ tấn công có thể thực thi mã Perl tùy ý với quyền hệ thống của người dùng đã xác thực trên máy chủ. Điều này làm tăng đáng kể nguy cơ bảo mật đối với các phiên bản cPanel/WHM đang mở API cho môi trường quản trị.
CVE-2026-29201 Và rủi ro đọc tệp tùy ý
Một lỗ hổng CVE khác là CVE-2026-29201, cho phép arbitrary file reads do kiểm tra tên tệp cấu hình tính năng không chặt chẽ. Lỗ hổng này có thể làm lộ thông tin cấu hình máy chủ cho người dùng không được phép truy cập.
Trong bối cảnh hệ thống hosting dùng chung, việc đọc được các tệp cấu hình nền có thể dẫn đến rò rỉ thông tin nhạy cảm, bao gồm tham số dịch vụ, đường dẫn nội bộ và dữ liệu vận hành quan trọng.
Đánh giá mức độ nghiêm trọng của lỗ hổng CVE
Các cập nhật mới từ cPanel không chỉ vá lỗ hổng CVE có CVSS 9.8 mà còn xử lý nhiều lỗi liên quan đến denial-of-service và lạm dụng tài khoản. Với môi trường shared hosting, một lỗi trong chuỗi xử lý API hoặc xác thực đầu vào có thể tạo điều kiện cho hệ thống bị xâm nhập hoặc gián đoạn dịch vụ diện rộng.
Đáng chú ý, các phiên bản 11.136.0.8 và thấp hơn nằm trong phạm vi cần ưu tiên cập nhật. Các nhánh phiên bản bị ảnh hưởng cần được nâng cấp lên bản phát hành mới nhất để giảm rủi ro khai thác.
Ảnh hưởng hệ thống
- Thực thi mã tùy ý với quyền hệ thống của tài khoản đã xác thực.
- Đọc tệp tùy ý, làm lộ cấu hình máy chủ và dữ liệu nội bộ.
- DoS trên các phiên làm việc hoặc thành phần dịch vụ liên quan.
- Chiếm quyền điều khiển máy chủ nếu chuỗi khai thác được ghép nối với lỗi leo thang đặc quyền.
Leo thang đặc quyền trên Linux với Dirty Frag
Rủi ro với lỗ hổng CVE trong cPanel/WHM còn nghiêm trọng hơn khi đi cùng các lỗi ở tầng hệ điều hành. Ngày 7/5/2026, nghiên cứu về Dirty Frag được công bố, được theo dõi với mã CVE-2026-43284 và CVE-2026-43500.
Đây là lỗi local privilege escalation trong Linux kernel liên quan đến page cache. Theo mô tả kỹ thuật, một người dùng cục bộ có đặc quyền thấp có thể lợi dụng lỗi để đạt root administrative control.
Cơ chế khai thác được ghi nhận có điểm tương đồng với bug Dirty Pipe năm 2022. Trong thực tế, nếu máy chủ hosting đã bị xâm nhập qua lớp ứng dụng, lỗi kernel như vậy có thể giúp kẻ tấn công nâng cấp đặc quyền và kiểm soát toàn bộ hệ thống.
Tham chiếu ngoài
Thông tin tổng hợp về lỗ hổng CVE có thể đối chiếu thêm tại NVD.
Lỗi Exim và rủi ro từ chối dịch vụ
Các máy chủ hosting thường tích hợp thêm dịch vụ thư điện tử, trong đó Exim cũng xuất hiện trong nhóm vấn đề bảo mật liên quan. CVE-2026-40684 là một lỗi mức trung bình có thể bị khai thác để làm sập các phiên kết nối bằng dữ liệu DNS được tạo sai trong bản ghi PTR.
Trên hệ thống dùng musl libc, việc cung cấp dữ liệu không hợp lệ có thể dẫn đến denial-of-service, gây gián đoạn dịch vụ thư và làm tăng rủi ro an toàn thông tin cho toàn bộ hạ tầng chia sẻ.
Hành động cần thực hiện trên hệ thống bị ảnh hưởng
Các quản trị viên đang vận hành hạ tầng cPanel, WHM và WP Squared cần ưu tiên cập nhật bản vá ngay khi có thể. Trong thời gian chờ nâng cấp, cần theo dõi chặt các dấu hiệu phát hiện xâm nhập trên log hệ thống và API.
Những điểm cần kiểm tra gồm yêu cầu bất thường vào create_user, các lần đọc tệp không hợp lệ, cũng như hành vi truy cập lạ từ tài khoản đã xác thực. Đây là các tín hiệu có thể phản ánh khai thác zero-day hoặc nỗ lực tận dụng lỗ hổng zero-day trong chuỗi tấn công.
Lệnh và hành động kiểm tra
grep -R "create_user" /usr/local/cpanel/logs/
grep -R "plugin" /usr/local/cpanel/logs/
grep -R "file read" /usr/local/cpanel/logs/
Các lệnh trên chỉ mang tính kiểm tra nhanh dấu vết truy cập API và hoạt động đọc tệp bất thường. Tùy môi trường, quản trị viên nên đối chiếu thêm với access logs, nhật ký ứng dụng và nhật ký dịch vụ thư để phát hiện chuỗi tấn công mạng sớm hơn.
IOC cần theo dõi
- CVE-2026-29202: Lỗi kiểm tra đầu vào tham số plugin trong create_user.
- CVE-2026-29201: Khả năng arbitrary file reads từ tên tệp tính năng không hợp lệ.
- CVE-2026-43284 / CVE-2026-43500: Lỗi leo thang đặc quyền trong Linux kernel.
- CVE-2026-40684: Lỗi Exim gây DoS qua dữ liệu DNS PTR bất thường.
Ưu tiên giảm thiểu rủi ro bảo mật
Trong giai đoạn này, lỗ hổng CVE trên cPanel, WHM và các thành phần liên quan cần được xem là rủi ro vận hành cấp cao. Việc trì hoãn update vá lỗi có thể dẫn đến hệ thống bị tấn công, leo thang đặc quyền hoặc gián đoạn dịch vụ.
Quản trị viên nên triển khai bản vá theo thứ tự ưu tiên: lớp quản trị hosting, lớp dịch vụ thư, sau đó đến kernel Linux. Cách tiếp cận này giúp giảm nguy cơ bị khai thác kết hợp giữa lỗi ứng dụng và lỗi hệ điều hành.
