Escanear grátis
HIGHCVE-2026-32991CVSS 7.1

CVE-2026-32991: Escalada de Privilégios em cPanel 11.110.0.0–11.136.1.12

Plataforma

cpanel

Componente

cpanel

Corrigido em

11.136.1.12

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-32991 é uma falha de escalada de privilégios descoberta no cPanel. Devido a verificações de autorização insuficientes, membros de uma equipe podem escalar seus privilégios para a conta do proprietário da equipe. As versões afetadas são do cPanel 11.110.0.0 até a 11.136.1.12. A correção foi implementada na versão 11.136.1.12.

Impacto e Cenários de Ataque

Um atacante que explore esta vulnerabilidade pode obter acesso não autorizado à conta do proprietário da equipe no cPanel. Isso pode permitir que o atacante realize ações administrativas, como modificar configurações do servidor, acessar dados sensíveis e até mesmo comprometer a segurança de outros sites hospedados no servidor. A escalada de privilégios permite que um atacante contorne as proteções de segurança padrão do cPanel e obtenha controle total sobre a conta do proprietário da equipe.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração é considerada média, pois requer acesso à equipe e conhecimento das funcionalidades do cPanel. Não há evidências de campanhas ativas de exploração no momento da publicação. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) no momento da publicação.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N7.1HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredLowNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Baixo — qualquer conta de usuário válida é suficiente.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentecpanel
FornecedorWebPros
Versão mínima11.110.0.0
Versão máxima11.136.1.12
Corrigido em11.136.1.12

Classificação de Fraqueza (CWE)

CWE-863

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-32991 é a atualização imediata para a versão 11.136.1.12 ou superior do cPanel. Revise as permissões de membros da equipe e remova qualquer membro desnecessário. Implemente políticas de senha fortes e autenticação de dois fatores para proteger as contas de proprietários de equipe. Monitore os logs do cPanel em busca de atividades suspeitas relacionadas à gestão de equipes.

Como corrigirtraduzindo…

Actualice cPanel a la versión 11.136.0.10 o posterior para corregir la vulnerabilidad. Esta actualización aborda las fallas de autorización que permiten a los miembros del equipo escalar privilegios a la cuenta del propietario del equipo. Consulte la nota de seguridad proporcionada por cPanel para obtener más detalles e instrucciones de actualización.

Perguntas frequentes

O que é CVE-2026-32991 — Escalada de Privilégios em cPanel?

CVE-2026-32991 é uma vulnerabilidade que permite que membros de uma equipe no cPanel escalem seus privilégios para a conta do proprietário da equipe.

Estou afetado pelo CVE-2026-32991 em cPanel?

Se você estiver executando uma versão do cPanel entre 11.110.0.0 e 11.136.1.12 e estiver utilizando o recurso de equipes, você está potencialmente afetado.

Como corrigir CVE-2026-32991 em cPanel?

A correção é atualizar o cPanel para a versão 11.136.1.12 ou superior. Revise as permissões de membros da equipe.

CVE-2026-32991 está sendo ativamente explorado?

Não há evidências de exploração ativa no momento da publicação, mas a vulnerabilidade pode ser explorada por atacantes com acesso à equipe.

Onde posso encontrar o aviso oficial do cPanel para CVE-2026-32991?

Consulte o site oficial do cPanel para obter informações e avisos de segurança: [https://security.cpanel.net/](https://security.cpanel.net/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...