跳到主要内容

cPanel & WHM 任意文件读取漏洞分析(CVE-2026-29205)

· 阅读需 6 分钟
ICE Lab
Institute of Cyber Environment

摘要

2026年5月13日,cPanel 官方发布安全更新,修复了 cpdavd 服务中的一个高危漏洞(CVE-2026-29205,CVSSv3 8.6)。该漏洞源于 cpdavd 附件下载端点存在权限管理错误与路径过滤不足,攻击者可利用构造的特制文件路径参数,在未认证条件下以 root 权限读取服务器任意文件,涵盖系统配置文件、数据库凭证及 SSL 私钥等敏感信息。本分析从漏洞原理、影响范围、复现验证及修复方案四个维度展开讨论。

关键词:cPanel;WHM;任意文件读取;路径遍历;CVE-2026-29205

1. 漏洞背景

cPanel & WHM 是全球广泛使用的 Linux Web 托管控制面板。WHM 提供服务器级管理能力,cPanel 面向站点用户提供网站、域名、数据库及邮件等运维管理功能,广泛应用于虚拟主机、IDC 机房、云服务商及企业自建托管环境。该平台支持图形化操作与自动化配置,是 Web 托管领域部署最普遍的管理平台之一。

cpdavd 是 cPanel 中负责 WebDAV 及 CalDAV/CardDAV 功能的后台服务组件,用于处理邮件客户端及日历同步相关的附件存储与检索请求。CVE-2026-29205 即存在于该组件的附件下载端点中。

2. 漏洞原理

2.1 缺陷定位

cpdavd 服务在处理附件下载请求时存在两类安全缺陷:

  1. 权限降级缺失:服务进程在访问文件系统时未正确执行权限降级操作,导致文件读取操作以 root 权限执行。
  2. 路径验证不足:对用户提交的文件路径参数缺乏充分的规范化与校验机制,未能有效拦截路径遍历攻击载荷。

2.2 攻击路径

攻击者利用该漏洞需满足两个前置条件:

  • cpdavd 端口(2079 HTTP / 2080 HTTPS)对外暴露;
  • 目标主机上存在至少一个有效的 cPanel 虚拟邮箱账户。

满足条件后,攻击者可构造包含路径遍历序列(如 ../)的特制请求,绕过服务的访问控制检查,以 root 权限读取目标文件系统中的任意文件。

2.3 影响分析

成功利用该漏洞可导致以下敏感信息泄露:

  • 系统配置文件(如 /etc/passwd/etc/shadow
  • 数据库连接凭证
  • SSL/TLS 私钥文件
  • cPanel 用户数据及配置存档

该漏洞利用复杂度较低,且技术细节与 PoC 均已公开,具备较高的在野利用风险。

3. 影响范围

3.1 受影响版本

以下版本的 cPanel & WHM 受该漏洞影响:

  • 11.124.0.0 ≤ version < 11.124.0.40
  • 11.126.0.0 ≤ version < 11.126.0.61
  • 11.130.0.0 ≤ version < 11.130.0.25
  • 11.132.0.0 ≤ version < 11.132.0.34
  • 11.134.0.0 ≤ version < 11.134.0.28
  • 11.136.0.0 ≤ version < 11.136.0.12
  • 11.120.1.0 ≤ WP Squared < 11.136.1.15

3.2 暴露面评估

根据全球资产测绘数据,与该漏洞关联的全球风险资产总数约为 141.8 万,涉及独立 IP 约 21.9 万个。受影响资产主要分布于 Web 托管服务商及 IDC 机房,其中运行较早版本(11.124–11.130 系列)的服务实例面临最高的利用风险。

4. 复现验证

ICE Lab 已在受控环境中对 CVE-2026-29205 完成复现验证。通过向 cpdavd 服务发送特制的 HTTP 请求,可在未认证条件下成功读取目标系统上的任意文件(如 /etc/passwd)。复现过程验证了漏洞的可利用性,并确认 PoC 代码的有效性。

5. 修复方案

cPanel 官方已在以下版本中修复该漏洞:

  • cPanel & WHM 11.124.* ≥ 11.124.0.40
  • cPanel & WHM 11.126.* ≥ 11.126.0.61
  • cPanel & WHM 11.130.* ≥ 11.130.0.25
  • cPanel & WHM 11.132.* ≥ 11.132.0.34
  • cPanel & WHM 11.134.* ≥ 11.134.0.28
  • cPanel & WHM 11.136.* ≥ 11.136.0.12
  • WP Squared ≥ 11.136.1.15

建议系统管理员通过 cPanel 后台更新功能或包管理器执行版本升级。对于无法立即升级的环境,应通过防火墙策略限制对 cpdavd 服务端口(2079/2080)的外部访问,作为临时缓解措施。

结论

CVE-2026-29205 是 cPanel & WHM cpdavd 组件中一处高危任意文件读取漏洞,其根因在于权限管理缺陷与输入验证不足的组合。由于漏洞利用无需认证且影响版本覆盖广泛,全球范围内存在大量暴露面。官方补丁已发布,建议相关用户尽快完成版本更新。

参考文献

[1] cPanel. "Security CVE-2026-29205: cPanel & WHM & WP2 Security Update (May 13, 2026)." https://support.cpanel.net/hc/en-us/articles/40437020299927-Security-CVE-2026-29205-cPanel-WHM-WP2-Security-Update-May-13-2026

[2] SLCyber. "New Age of Collisions: Reading Arbitrary Files Pre-Auth as Root in cPanel (CVE-2026-29205)." https://slcyber.io/research-center/new-age-of-collisions-reading-arbitrary-files-pre-auth-as-root-in-cpanel-cve-2026-29205/