मुफ्त स्कैन करें
HIGHCVE-2026-32993CVSS 8.3

CVE-2026-32993: HTTP Header Injection in cPanel

प्लेटफ़ॉर्म

cpanel

घटक

cpanel

में ठीक किया गया

11.136.1.12

NVD पर देखें
सहेजें

CVE-2026-32993 cPanel में एक भेद्यता है जो हमलावरों को /unprotected/nova_error एंडपॉइंट के status क्वेरी पैरामीटर को अनुचित रूप से सैनिटाइज करने के कारण मनमाना HTTP हेडर इंजेक्ट करने की अनुमति देती है। यह भेद्यता उच्च गंभीरता की है और cPanel के संस्करण 11.132.0.0 से 11.136.1.12 को प्रभावित करती है। इस समस्या को cPanel संस्करण 11.136.1.12 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को HTTP प्रतिक्रिया में मनमाना हेडर इंजेक्ट करने की अनुमति देती है। इसका उपयोग विभिन्न प्रकार के हमलों के लिए किया जा सकता है, जिसमें कैश पॉइज़निंग, उपयोगकर्ता पुनर्निर्देशन और संवेदनशील जानकारी का खुलासा शामिल है। उदाहरण के लिए, एक हमलावर Cache-Control हेडर को इंजेक्ट करके कैशिंग व्यवहार को बदल सकता है, जिससे दुर्भावनापूर्ण सामग्री को कैश किया जा सकता है और अधिक उपयोगकर्ताओं को परोसा जा सकता है। वे Location हेडर का उपयोग करके उपयोगकर्ताओं को फ़िशिंग साइटों पर पुनर्निर्देशित भी कर सकते हैं। चूंकि यह भेद्यता प्रमाणीकरण की आवश्यकता के बिना शोषण की जा सकती है, इसलिए इसका प्रभाव व्यापक है और इसका शोषण करना अपेक्षाकृत आसान है।

शोषण संदर्भ

CVE-2026-32993 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च गंभीरता और प्रमाणीकरण की आवश्यकता न होने के कारण, इसका शोषण होने की संभावना है। इस CVE को 2026-05-13 को प्रकाशित किया गया था। EPSS स्कोर अभी भी मूल्यांकन के अधीन है। सार्वजनिक रूप से उपलब्ध शोषण कोड अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका जल्द ही शोषण विकसित होने की संभावना है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L8.3HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकcpanel
विक्रेताWebPros
न्यूनतम संस्करण11.132.0.0
अधिकतम संस्करण11.136.1.12
में ठीक किया गया11.136.1.12

कमजोरी वर्गीकरण (CWE)

CWE-93

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित

शमन और वर्कअराउंड

CVE-2026-32993 के लिए प्राथमिक शमन उपाय cPanel को संस्करण 11.136.1.12 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या रिवर्स प्रॉक्सी को /unprotected/novaerror एंडपॉइंट पर आने वाले अनुरोधों में status पैरामीटर में किसी भी असामान्य या दुर्भावनापूर्ण वर्णों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, cPanel कॉन्फ़िगरेशन की समीक्षा करें और सुनिश्चित करें कि अनावश्यक एंडपॉइंट अक्षम हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, /unprotected/novaerror?status=X जैसे अनुरोध भेजकर, जहां 'X' एक मनमाना हेडर है। प्रतिक्रिया में हेडर इंजेक्शन नहीं होना चाहिए।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice cPanel a la versión 11.132.0.32 o posterior, 11.134.0.26 o posterior, 11.136.0.10 o posterior, o 11.136.1.12 o posterior para mitigar la vulnerabilidad.  La actualización corrige la falta de sanitización adecuada del parámetro de consulta 'status' en el endpoint '/unprotected/nova_error', previniendo la inyección de encabezados HTTP arbitrarios.

अक्सर पूछे जाने वाले सवाल

CVE-2026-32993 — HTTP हेडर इंजेक्शन cPanel में क्या है?

CVE-2026-32993 cPanel में एक भेद्यता है जो हमलावरों को /unprotected/nova_error एंडपॉइंट के status पैरामीटर के माध्यम से HTTP हेडर इंजेक्ट करने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या उपयोगकर्ता को पुनर्निर्देशित किया जा सकता है।

क्या मैं CVE-2026-32993 में cPanel से प्रभावित हूँ?

यदि आप cPanel संस्करण 11.132.0.0 से 11.136.1.12 चला रहे हैं, तो आप प्रभावित हैं। तुरंत cPanel को संस्करण 11.136.1.12 या बाद के संस्करण में अपडेट करें।

मैं CVE-2026-32993 में cPanel को कैसे ठीक करूँ?

CVE-2026-32993 को ठीक करने के लिए, cPanel को संस्करण 11.136.1.12 या बाद के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या /unprotected/nova_error एंडपॉइंट पर आने वाले अनुरोधों को फ़िल्टर करें।

क्या CVE-2026-32993 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-32993 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने की संभावना है।

मैं CVE-2026-32993 के लिए आधिकारिक cPanel सलाहकार कहाँ पा सकता हूँ?

आप आधिकारिक cPanel सलाहकार cPanel की सुरक्षा वेबसाइट पर पा सकते हैं: [https://security.cpanel.net/](https://security.cpanel.net/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...