Gratis scannen
HIGHCVE-2026-32993CVSS 8.3

CVE-2026-32993: HTTP Header Injection in cPanel

Platform

cpanel

Component

cpanel

Opgelost in

11.136.1.12

Bekijk op NVD
Opslaan

CVE-2026-32993 beschrijft een HTTP Header Injection kwetsbaarheid in cPanel. Deze kwetsbaarheid stelt een ongeauthenticeerde aanvaller in staat om willekeurige HTTP headers in te voegen via de status query parameter van de /unprotected/nova_error endpoint. De kwetsbaarheid treft cPanel versies van 11.132.0.0 tot en met 11.136.1.12. Een upgrade naar versie 11.136.1.12 is vereist om de kwetsbaarheid te verhelpen.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot verschillende schadelijke gevolgen. Een aanvaller kan bijvoorbeeld de Cache-Control header manipuleren om de browsercache te beïnvloeden, wat kan leiden tot het tonen van verouderde of gemanipuleerde content. Verder kan de Location header worden gemanipuleerd om gebruikers om te leiden naar kwaadaardige websites (phishing). Hoewel de kwetsbaarheid ongeauthenticeerd is, vereist het wel toegang tot de cPanel server via het netwerk. De impact is significant omdat het de integriteit van de website kan aantasten en gebruikers kan blootstellen aan phishing aanvallen.

Uitbuitingscontext

Op het moment van publicatie (2026-05-13) is er geen publieke Proof-of-Concept (POC) code beschikbaar. De kwetsbaarheid is beoordeeld met een CVSS score van 8.3 (HIGH), wat duidt op een aanzienlijke mate van risico. Er zijn geen meldingen van actieve campagnes bekend. Het is echter aannemelijk dat deze kwetsbaarheid in de toekomst zal worden geëxploiteerd, aangezien het een relatief eenvoudige manier is om HTTP headers te injecteren.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L8.3HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityLowRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentcpanel
LeverancierWebPros
Minimumversie11.132.0.0
Maximumversie11.136.1.12
Opgelost in11.136.1.12

Zwakheidsclassificatie (CWE)

CWE-93

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van cPanel naar versie 11.136.1.12 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) die HTTP header injectie detecteert en blokkeert. Configureer de WAF om de /unprotected/novaerror endpoint te monitoren op verdachte patronen in de status parameter. Een andere tijdelijke workaround is het beperken van de toegang tot de /unprotected/novaerror endpoint via firewallregels, zodat alleen geautoriseerde IP-adressen toegang hebben. Na de upgrade, controleer de server logs op pogingen tot exploitatie om de effectiviteit van de mitigatie te verifiëren.

Hoe te verhelpenwordt vertaald…

Actualice cPanel a la versión 11.132.0.32 o posterior, 11.134.0.26 o posterior, 11.136.0.10 o posterior, o 11.136.1.12 o posterior para mitigar la vulnerabilidad.  La actualización corrige la falta de sanitización adecuada del parámetro de consulta 'status' en el endpoint '/unprotected/nova_error', previniendo la inyección de encabezados HTTP arbitrarios.

Veelgestelde vragen

Wat is CVE-2026-32993 — HTTP Header Injection in cPanel?

CVE-2026-32993 beschrijft een kwetsbaarheid in cPanel waardoor een ongeauthenticeerde aanvaller willekeurige HTTP headers kan injecteren via de /unprotected/nova_error endpoint. Dit kan leiden tot phishing en manipulatie van de browsercache.

Am I affected by CVE-2026-32993 in cPanel?

U bent mogelijk getroffen als u een cPanel installatie gebruikt in de versie range 11.132.0.0 tot en met 11.136.1.12. Controleer uw cPanel versie met cpanel -v.

How do I fix CVE-2026-32993 in cPanel?

Upgrade cPanel naar versie 11.136.1.12 of hoger. Indien dit niet direct mogelijk is, implementeer dan een WAF of beperk de toegang tot de /unprotected/nova_error endpoint.

Is CVE-2026-32993 being actively exploited?

Op dit moment zijn er geen meldingen van actieve exploitatie, maar de kwetsbaarheid heeft een hoge CVSS score en kan in de toekomst worden misbruikt.

Where can I find the official cPanel advisory for CVE-2026-32993?

Raadpleeg de officiële cPanel security advisories op hun website: [https://security.cpanel.net/](https://security.cpanel.net/)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...