NoésisNEWS
Intermédiaire·3 min·9 mai 2026

cPanel : 3 nouvelles failles critiques après le ransomware sur 44k serveurs

🎧 Résumé audio0:00 / 0:00
Dix jours après une attaque massive, cPanel découvre trois nouvelles failles. Les correctifs d'urgence s'enchaînent.
cPanel : 3 nouvelles failles critiques après le ransomware sur 44k serveurs

Pourquoi ça compte pour toi

Si tu gères un serveur cPanel (ou un hébergement dessus), tu dois appliquer les correctifs immédiatement. Deux mises à jour en 10 jours, c'est le signe que l'audit du code a révélé bien pire que prévu. Et deux des trois failles permettent à n'importe quel utilisateur du serveur d'exécuter du code avec accès système complet.

Ce qu'il faut retenir

  • 1.CVE-2026-29202 : exécution de code Perl arbitraire (CVSS 8.8) — n'importe quel compte peut injecter du code destructeur
  • 2.CVE-2026-29203 : escalade de privilèges via symlink (CVSS 8.8) — accès fichiers système sans autorisation
  • 3.CVE-2026-29201 : lecture de fichiers arbitraires (CVSS 4.3) — vol de configs et identifiants pour préparer des attaques ultérieures
  • 4.L'attaque du 28 avril (CVE-2026-41940) a compromis 44 000 serveurs et déployé un ransomware. Cet audit de crise révèle le reste des dégâts.
  • 5.Commande à lancer d'urgence : /scripts/upcp en root, puis vérifier la version avec /usr/local/cpanel/cpanel -V

Tu galères avec le jargon ?

Lis la version réécrite en mode débutant — toutes les idées, sans le jargon.

Pourquoi trois correctifs d'urgence en 10 jours ?

C'est rarement du hasard. Quand une faille critique (CVE-2026-41940, score 9.8) explose en production et compromet 44 000 serveurs, les équipes de sécurité lancent un audit de crise : « qu'est-ce qu'on a d'autre dans le code ? »

Résultat : trois autres failles sautent aux yeux. C'est l'issue normale d'un cycle de remédiation concentré — une ré-examination forcée du code sous pression.

Les trois failles en clair

CVE-2026-29202 : Exécution de code Perl (CVSS 8.8)

C'est la pire. N'importe quel utilisateur authentifié sur le serveur (donc sur un hébergement mutualisé, n'importe qui avec un compte) peut injecter du code Perl via l'API create_user. Le code s'exécute avec les droits du système cPanel.

Concrètement : un locataire d'un serveur mutualisé peut devenir root sur la machine entière.

CVE-2026-29203 : Escalade de privilèges (CVSS 8.8)

Un utilisateur crée un symlink qui pointe vers un fichier système sensible, puis cPanel le modifie automatiquement avec chmod. L'attaquant change les permissions sur des fichiers qu'il ne devrait pas toucher.

Enchaînable avec la faille Perl : « exécute du code pour créer le symlink, puis escalade les droits ».

CVE-2026-29201 : Lecture de fichiers (CVSS 4.3)

Celle-ci est moins spectaculaire, mais elle ouvre la porte. Un utilisateur peut lire les fichiers de configuration du serveur, trouver des identifiants, et utiliser tout ça pour préparer une vraie attaque (par exemple, enchaîner avec CVE-2026-29202).

Ce que tu dois faire

Immédiatement :

/scripts/upcp

Lance ça en root. Puis valide :

/usr/local/cpanel/cpanel -V

Et redémarre le service :

/scripts/restartsrv_cpsrvd

Si tu n'as pas de mise à jour automatique ou une version épinglée :

/scripts/upcp --force

Sur CloudLinux 6 :

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf
/scripts/upcp

Dois-tu scanner pour des compromissions antérieures ?

Si ton serveur tournait sans correctif entre fin février et le 28 avril, tu dois supposer qu'il a pu être compromis.

Vérifications à faire :

  1. Logs cPanel depuis le 23 février : tail -f /usr/local/cpanel/logs/access_log et login_log. Cherche des connexions anormales depuis des adresses IP inattendues.

  2. Scan pour le ransomware "Sorry" : relève tous les fichiers avec l'extension .sorry dans les répertoires utilisateurs. Si tu en trouves, le ransomware a agi. Plan B : réponse sur incident complète, pas juste un correctif.

Le contexte plus large

Ce qui arrive à cPanel n'est pas isolé. Les trois plus grosses vulnérabilités Linux de ces derniers mois (Copy Fail, Dirty Frag) ont été divulguées en 8 jours. La recherche en sécurité assistée par IA repère les failles plus vite que les processus de coordination ne peuvent les gérer. La fenêtre entre « faille découverte » et « exploitée en production » s'est rétrécie de semaines à jours.

Dans le cas du CVE-2026-41940, les attaquants avaient 2 mois d'avance avant qu'un correctif existe.

Le message ? Applique les correctifs vite, audite souvent.

Et concrètement pour toi ?

Choisis ton profil — la lecture de l'article change selon qui tu es.

🔭 Curieux

Pour toi, comprends que cPanel gère les serveurs web de millions de petits sites — celui de ton boulanger ou du freelancer local. Trois failles critiques en 10 jours signifient que des serveurs sans équipe IT dédiée resteront non patchés longtemps, donc accessibles aux hackers. C'est invisible mais massif.

Essayer maintenant

Lancer le patch cPanel maintenant

Source

#securite#cpanel#ransomware#linux#devops#urgent
🎓

Pour aller plus loin

Cet article t'a donné envie d'approfondir ? Deux formations Noésis t'attendent :

Masterclass · 49 €

Prompt Engineering

8 chapitres + 50 prompts prêts à copier + PDF

Formation vidéo · 79 €

IA Fondations

12 leçons vidéo pour comprendre et utiliser l'IA

Newsletters Noésis

3 minutes d'IA dans ta boîte mail, chaque matin.

Rejoins les francophones qui comprennent, essaient et progressent avec l'IA. Choisis ce que tu veux recevoir. Désabonnement en 1 clic.