AIO APEX
Security

La mise à jour d’urgence de cPanel et WHM corrige une faille critique de contournement de l’authentification

BleepingComputer
Partager:
La mise à jour d’urgence de cPanel et WHM corrige une faille critique de contournement de l’authentification

Les administrateurs cPanel et WHM doivent appliquer le correctif sans délai après la publication, le 29 avril 2026, d’une mise à jour d’urgence destinée à corriger une vulnérabilité critique de contournement de l’authentification. Les hébergeurs ont réagi rapidement, Namecheap bloquant temporairement les ports 2083 et 2087 afin de réduire l’exposition pendant la phase de mise à jour.

Contexte

L’incident concerne une faille sévère de contournement de l’authentification affectant des déploiements cPanel et WHM. Même si la récupération directe de l’avis officiel est bloquée dans ce flux, cPanel a publié un bulletin de sécurité sur ce problème et diffusé des versions corrigées pour plusieurs branches prises en charge.

Détails

Les versions corrigées annoncées pour cette mise à jour d’urgence sont 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 et 11.136.0.5. Les administrateurs sont invités à forcer le processus de mise à jour avec la commande /scripts/upcp --force et à vérifier immédiatement que leurs systèmes passent bien sur la version corrigée.

Réponse des fournisseurs

Namecheap a temporairement bloqué l’accès entrant aux ports 2083 et 2087, habituellement utilisés par cPanel et WHM, en guise de mesure défensive pendant la réponse. Cette décision souligne la gravité de la faille et l’inquiétude dans les environnements d’hébergement mutualisé et de serveurs gérés.

Implications

Une faille de contournement de l’authentification dans un panneau de contrôle aussi largement déployé que cPanel peut entraîner des risques majeurs, notamment un accès administratif non autorisé, la compromission de comptes et un impact en cascade dans des environnements d’hébergement. Les équipes doivent corriger immédiatement, examiner les journaux d’accès, confirmer l’exposition des ports de gestion accessibles depuis Internet et se coordonner avec leurs fournisseurs si des restrictions réseau temporaires restent actives.

Attribution de la source

Ce rapport s’appuie sur la couverture de BleepingComputer concernant ce correctif d’urgence, tout en signalant que cPanel a également publié un bulletin de sécurité et que des fournisseurs comme Namecheap ont appliqué des mesures temporaires de protection durant le déploiement.

cpanelwhmhosting-securityauthentication-bypasssecurity-update

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Partager: