HIGHCVE-2026-29205CVSS 8.6

CVE-2026-29205: Arbitrary File Access in cPanel

Plateforme

cpanel

Composant

cpanel

Corrigé dans

11.136.1.12

Voir sur NVD

Sauvegarder

La vulnérabilité CVE-2026-29205 affecte cPanel, permettant un accès arbitraire aux fichiers du serveur. Cette faille est due à une gestion incorrecte des privilèges et à un filtrage insuffisant des chemins d'accès, permettant de lire des fichiers sensibles via les points d'entrée de téléchargement de pièces jointes cpdavd. Elle affecte les versions de cPanel comprises entre 11.120.0.0 et 11.136.1.12. Une correction est disponible dans la version 11.136.1.12.

Impact et Scénarios d'Attaque

Un attaquant exploitant cette vulnérabilité peut lire n'importe quel fichier accessible au processus cpdavd sur le serveur. Cela inclut potentiellement des fichiers de configuration contenant des mots de passe, des clés API, des informations de base de données, ou d'autres données sensibles. L'attaquant pourrait également accéder à des fichiers contenant du code source, révélant ainsi des informations sur l'architecture de l'application. La compromission de ces données pourrait conduire à un vol d'informations, une escalade de privilèges, ou une prise de contrôle complète du serveur. Bien qu'il n'y ait pas de rapport d'exploitation publique connu, la facilité d'accès aux fichiers rend cette vulnérabilité particulièrement préoccupante.

Contexte d'Exploitation

La vulnérabilité CVE-2026-29205 n'est pas répertoriée sur KEV (Kernel Exploit Vulnerability Database) ni sur EPSS (Exploit Prediction Scoring System) à ce jour. La probabilité d'exploitation est considérée comme faible en raison de l'absence de preuves d'exploitation active. Cependant, la simplicité de l'exploitation potentielle justifie une attention particulière. Consultez l'avis officiel de cPanel pour plus d'informations.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

Rapports2 rapports de menace

CISA SSVC

Exploitationnone

Automatisableyes

Impact Techniquepartial

Vecteur CVSS

Que signifient ces métriques?

Attack Vector: Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity: Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required: Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction: Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope: Inchangé — impact limité au composant vulnérable.
Confidentiality: Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity: Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability: Faible — déni de service partiel ou intermittent.

Logiciel Affecté

Composantcpanel

FournisseurWebPros

Version minimale11.120.0.0

Version maximale11.136.1.12

Corrigé dans11.136.1.12

Classification de Faiblesse (CWE)

CWE-250

Chronologie

Réservé2026-03-04
Publiée2026-05-13
Modifiée2026-05-14

Mitigation et Contournements

La mesure de mitigation principale est de mettre à jour cPanel vers la version 11.136.1.12 ou supérieure, qui corrige cette vulnérabilité. Si une mise à jour immédiate n'est pas possible, envisagez de restreindre l'accès aux points d'entrée cpdavd via un pare-feu ou un proxy inverse. Configurez des règles WAF (Web Application Firewall) pour bloquer les requêtes suspectes ciblant ces points d'accès. Vérifiez également les permissions des fichiers et des répertoires pour vous assurer que le processus cpdavd n'a accès qu'aux fichiers nécessaires à son fonctionnement. Après la mise à jour, vérifiez que l'accès aux fichiers sensibles est correctement restreint en tentant de les lire avec un compte utilisateur non privilégié.

Comment corrigertraduction en cours…

Actualice cPanel a la versión 11.136.0.10 o posterior para mitigar la vulnerabilidad. Esta actualización corrige una falla en la gestión de privilegios y el filtrado de rutas que permitía la lectura de archivos arbitrarios a través de los puntos finales de descarga de archivos adjuntos cpdavd.

Questions fréquentes

Que signifie CVE-2026-29205 — Arbitrary File Access dans cPanel ?

CVE-2026-29205 est une vulnérabilité d'accès arbitraire aux fichiers dans cPanel, permettant à un attaquant de lire des fichiers sensibles sur le serveur. Elle est classée comme de haute gravité (CVSS: 8.6).

Suis-je affecté par CVE-2026-29205 dans cPanel ?

Vous êtes affecté si vous utilisez une version de cPanel comprise entre 11.120.0.0 et 11.136.1.12. Vérifiez votre version et mettez à jour dès que possible.

Comment corriger CVE-2026-29205 dans cPanel ?

Mettez à jour cPanel vers la version 11.136.1.12 ou supérieure. Si la mise à jour n'est pas possible immédiatement, appliquez des mesures de mitigation temporaires comme la restriction d'accès.

CVE-2026-29205 est-il activement exploité ?

À ce jour, il n'y a pas de preuves d'exploitation active de CVE-2026-29205, mais la vulnérabilité est suffisamment simple pour être exploitée.

Où puis-je trouver l'avis officiel de cPanel pour CVE-2026-29205 ?

Consultez l'avis de sécurité officiel de cPanel sur leur site web : [https://security.cpanel.net/](https://security.cpanel.net/)

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitement Rechercher des CVE

en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

Parcourir les fichiers