CVE-2026-32993: Injection d'en-tête HTTP dans cPanel
Plateforme
cpanel
Composant
cpanel
Corrigé dans
11.136.1.12
La vulnérabilité CVE-2026-32993 affecte cPanel, permettant une injection d'en-tête HTTP arbitraire. Cette faille permet à un attaquant non authentifié d'influencer les réponses HTTP, potentiellement compromettant la sécurité du serveur. Elle concerne les versions de cPanel comprises entre 11.132.0.0 et 11.136.1.12. Une mise à jour vers la version 11.136.1.12 corrige ce problème.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié d'injecter des en-têtes HTTP arbitraires dans les réponses du serveur cPanel. Cela peut être utilisé pour diverses attaques, telles que le détournement de trafic (HTTP Host Header Injection), l'insertion de scripts malveillants via des en-têtes de cache, ou la modification du comportement du serveur. Un attaquant pourrait, par exemple, modifier l'en-tête Content-Security-Policy pour contourner les mesures de sécurité du site web hébergé sur cPanel. Le risque est significatif car l'exploitation ne nécessite aucune authentification, rendant de nombreux systèmes cPanel potentiellement vulnérables. Bien qu'il n'y ait pas de rapports publics d'exploitation active, la simplicité de l'exploitation rend cette vulnérabilité particulièrement préoccupante.
Contexte d'Exploitation
La vulnérabilité CVE-2026-32993 a été publiée le 13 mai 2026. Il n'y a pas d'indications d'une présence sur KEV (Known Exploited Vulnerabilities) à ce jour. L'EPSS (Exploit Prediction Scoring System) score est en cours d'évaluation, mais la simplicité de l'exploitation suggère un score potentiellement moyen ou élevé. Aucun proof-of-concept (POC) public n'a été rendu disponible à ce jour, mais la nature de la vulnérabilité rend sa découverte et son exploitation relativement aisées.
Renseignement sur les Menaces
Statut de l'Exploit
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
Mitigation et Contournements
La mitigation principale consiste à mettre à jour cPanel vers la version 11.136.1.12 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des injections d'en-têtes HTTP dans le paramètre status de l'endpoint /unprotected/novaerror. Il est également possible de restreindre l'accès à cet endpoint via des règles de pare-feu au niveau du serveur, limitant l'accès uniquement aux adresses IP autorisées. Après la mise à jour, vérifiez l'intégrité du système en effectuant une requête à /unprotected/novaerror avec un en-tête HTTP malveillant et assurez-vous que la requête est correctement bloquée ou que l'en-tête n'est pas injecté dans la réponse.
Comment corrigertraduction en cours…
Actualice cPanel a la versión 11.132.0.32 o posterior, 11.134.0.26 o posterior, 11.136.0.10 o posterior, o 11.136.1.12 o posterior para mitigar la vulnerabilidad. La actualización corrige la falta de sanitización adecuada del parámetro de consulta 'status' en el endpoint '/unprotected/nova_error', previniendo la inyección de encabezados HTTP arbitrarios.
Questions fréquentes
Que signifie CVE-2026-32993 — Injection d'en-tête HTTP dans cPanel ?
CVE-2026-32993 décrit une vulnérabilité d'injection d'en-tête HTTP dans cPanel, permettant à un attaquant non authentifié d'injecter des en-têtes HTTP arbitraires dans les réponses du serveur.
Suis-je affecté par CVE-2026-32993 dans cPanel ?
Si vous utilisez cPanel dans les versions comprises entre 11.132.0.0 et 11.136.1.12, vous êtes potentiellement affecté par cette vulnérabilité. Vérifiez votre version et mettez à jour si nécessaire.
Comment corriger CVE-2026-32993 dans cPanel ?
La solution recommandée est de mettre à jour cPanel vers la version 11.136.1.12 ou supérieure. En attendant, configurez un WAF ou des règles de pare-feu pour bloquer les requêtes suspectes.
CVE-2026-32993 est-il activement exploité ?
À ce jour, il n'y a pas de rapports publics d'exploitation active, mais la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
Où puis-je trouver l'avis officiel de cPanel pour CVE-2026-32993 ?
Consultez le site web de cPanel ou leur système de suivi des problèmes pour obtenir les informations les plus récentes sur cette vulnérabilité.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...