cPanel黑色星期44000台服务器遭勒索软件攻击后三个新漏洞已修复如果您运行的服务器使用了cPanel或WHM那么请仔细阅读本文。2026年5月8日就在cPanel的CVE - 2026 - 41940身份验证绕过漏洞被利用导致44000台虚拟主机服务器被入侵并部署勒索软件的十天后cPanel悄悄发布了第二个紧急安全补丁。该补丁修复了三个新漏洞CVE - 2026 - 29201、CVE - 2026 - 29202和CVE - 2026 - 29203。这三个漏洞中有两个的CVSS评分为8.8属于“高严重级别”仅次于“关键级别”。这是cPanel在10天内发布的第二个技术安全更新TSR。不到两周内发布两个紧急补丁并不常见而且时间点——就在多年来最严重的cPanel攻击之后——说明了一个明显的情况勒索软件事件引发了更深入的代码审计而这次审计发现了更多问题。目录什么是cPanel TSR三个新漏洞CVE - 2026 - 29201 —— 任意文件读取CVSS 4.3CVE - 2026 - 29202 —— 任意Perl代码执行CVSS 8.8CVE - 2026 - 29203 —— 通过不安全符号链接进行权限提升CVSS 8.8背景cPanel最近发生了什么如何逐步进行补丁修复是否应该检查之前是否被入侵更广泛的趋势总结清单什么是cPanel TSR在深入了解这些漏洞之前先简单介绍一下相关背景当安全补丁准备好时cPanel会采用一种标准化的流程即技术安全更新TSR。cPanel会提前通知注册客户以便他们安排更新窗口和维护计划。CVE编号会通过MITRE预留但完整的技术细节会在补丁发布时才解除保密限制以防止在修复方案可用之前被利用。2026年5月7日WebPros向注册客户发送了第二封TSR预披露邮件这是十天内的第二封此类紧急通知。补丁于5月8日美国东部标准时间12:00发布。三个新漏洞CVE - 2026 - 29201 —— 任意文件读取CVSS 4.3漏洞描述在feature::LOADFEATUREFILE管理二进制调用中对功能文件名的输入验证不足可能导致任意文件读取。实际影响经过身份验证的攻击者可以操纵功能文件名参数读取托管服务器上他们本无权访问的文件。虽然这不会直接授予root权限但获取的信息如配置文件、凭据、内部路径可用于发起更具破坏性的后续攻击。严重程度中度CVSS 4.3。虽然紧迫性低于其他漏洞但鉴于当前的威胁环境仍应立即进行修复。CVE - 2026 - 29202 —— 任意Perl代码执行CVSS 8.8漏洞描述在create_user API调用中对plugin参数的输入验证不足可能导致以已认证账户的系统用户身份执行任意Perl代码。实际影响这是三个漏洞中最危险的一个。经过身份验证的用户可能是共享服务器上的任何账户持有者可以通过create_user API注入任意Perl代码。在cPanel环境中运行的Perl代码具有重要的系统级访问权限。在共享托管服务器上这可能允许一个租户运行影响整个服务器的代码。严重程度高CVSS 8.8。虽然需要身份验证但在共享托管环境中这个门槛较低任何账户都可能被利用。CVE - 2026 - 29203 —— 通过不安全符号链接进行权限提升CVSS 8.8漏洞描述存在不安全的符号链接处理漏洞允许用户使用chmod修改任意文件的访问权限从而导致拒绝服务或可能的权限提升。实际影响攻击者可以创建指向敏感系统文件的符号链接并通过cPanel触发chmod操作从而更改他们本不应触及的文件权限。如果系统文件变得无法访问可能会导致权限提升或拒绝服务。严重程度高CVSS 8.8。与CVE - 2026 - 29202结合使用时这两个漏洞可能会被链式利用先执行代码创建符号链接然后利用chmod提升权限以获得更深入的访问。背景cPanel最近发生了什么要理解这三个补丁为何比其单个CVSS评分所显示的更重要有必要回顾一下它们发布前十天发生的事情。2026年4月28日cPanel发布了针对CVE - 2026 - 41940的紧急补丁这是一个CVSS评分为9.8的身份验证绕过漏洞允许未经身份验证的远程攻击者获得cPanel和WHM的管理权限。该漏洞作为零日漏洞被积极利用攻击尝试可追溯到2026年2月下旬这意味着攻击者在修复方案可用之前有大约两个月的领先时间。后果立竿见影且十分严重。至少44000个运行cPanel的IP地址在持续攻击中被入侵。黑客利用该漏洞攻破服务器并部署了一种基于Go语言的Linux加密器用于名为“Sorry”的勒索软件。10天内发布两个紧急技术支持更新反映了安全团队所认识的集中补救周期最初的关键补丁触发了对相邻代码路径的更深入审计而这次审计发现了之前未被发现或优先级较低的其他问题。在重大事件发生后出现这种情况并不罕见实际上这是对身份验证和会话处理代码进行加速重新审查的预期结果。换句话说在CVE - 2026 - 41940之后发现CVE - 2026 - 29201、29202和29203并非运气不好而是cPanel在压力下对代码进行审计并发现更多问题的结果。未来可能还会有更多漏洞披露。如何逐步进行补丁修复标准更新/scripts/upcp在5月8日美国东部标准时间12:00之后以root身份从命令行运行此命令。这将通过cPanel的标准层级机制拉取最新的TSR。如果自动更新已禁用或您使用的是固定层级/scripts/upcp --force对于CloudLinux 6服务器sed -i s/CPANEL.*/CPANELcl6110/g /etc/cpupdate.conf/scripts/upcp打补丁后重启cpsrvd/scripts/restartsrv_cpsrvd验证已应用补丁的版本/usr/local/cpanel/cpanel -V在确认服务器受到保护之前请确保版本与cPanel官方安全公告中列出的已修补版本相匹配。是否应该检查之前是否被入侵如果您的服务器在2月下旬至4月28日期间运行的是未打补丁的cPanel版本那么应将其视为可能已被入侵并进行调查而不仅仅是打补丁。建议的取证步骤包括从2026年2月23日开始追溯审计访问日志查看/usr/local/cpanel/logs/access_log和/usr/local/cpanel/logs/login_log查找来自意外IP地址的异常会话身份验证模式。此外对用户主目录进行递归扫描查找扩展名为.sorry的文件。如果存在.sorry文件则确认已部署勒索软件需要进行全面的事件响应而不仅仅是打补丁。更广泛的趋势cPanel目前面临的情况是整个虚拟主机安全领域更广泛趋势的一部分。近年来最受关注的三个Linux内核漏洞——Copy FailCVE - 2026 - 31431和Dirty FragCVE - 2026 - 43284/43500——在4月下旬至5月上旬的八天内相继披露。cPanel勒索软件攻击暴露了超过44000台服务器。现在在第一个紧急补丁发布几天后又有三个cPanel CVE出现。这种集中披露并非巧合。人工智能辅助的安全研究发现漏洞的速度超过了协调披露流程的处理能力。从攻击者发现漏洞到在生产环境中利用漏洞的时间窗口从数周缩短到了数天。以CVE - 2026 - 41940为例在补丁出现之前几个月就已经开始被利用。对于任何运行cPanel服务器的人来说实际操作的影响很直接必须开启自动更新补丁验证必须成为维护清单的一部分每次重大事件后审查日志不再是可选项。总结清单操作优先级运行/scripts/upcp以应用5月8日的TSR 立即打补丁后重启cpsrvd 立即使用/usr/local/cpanel/cpanel -V验证已修补版本 立即审查2月23日之后的访问日志 今日扫描主目录中的.sorry文件 今日如果禁用了cPanel自动更新请启用 本周审查是否有账户异常运行create_user API 本周