关于cPanel-WHM 任意文件读取漏洞（CVE-2026-29205）的预警通报

近日，工作发现最新漏洞威胁：cPanel-WHM 任意文件读取漏洞CVE-2026-29205

该漏洞是存在于 cPanel-WHM 系统的 cpdavd 守护进程附件下载接口中的一项高危漏洞。其根本原因在于服务处理附件下载请求时存在双重缺陷：一方面未能正确执行权限降级操作，另一方面对用户输入的路径验证机制存在严重不足。未经身份验证的远程攻击者可通过向目标服务端点发送包含目录遍历序列或绝对路径的特制 HTTP请求，从而绕过预期的存储目录访问控制。由于后台 cpdavd 进程的实际文件读取操作以 root 最高权限执行，该漏洞允许攻击者在完全无需凭证或用户交互的条件下，跨越权限边界直接读取服务器物理系统上的任意文件，导致系统口令凭据、数据库配置文件、API 令牌、邮件脱机文件以及 SSL 私钥等核心敏感数据面临直接泄露的风险。

目前受影响的 cPanel-WHM 版本：

11.124.0.0 ≤ cPanel-WHM < 11.124.0.40

11.126.0.0 ≤ cPanel-WHM < 11.126.0.61

11.130.0.0 ≤ cPanel-WHM < 11.130.0.25

11.132.0.0 ≤ cPanel-WHM < 11.132.0.34

11.134.0.0 ≤ cPanel-WHM < 11.134.0.28

11.136.0.0 ≤ cPanel-WHM < 11.136.0.12

11.120.1.0 ≤ WP Squared < 11.136.1.15

官方已发布安全补丁，请及时更新至最新版本：

下载地址：

https://support.cpanel.net/hc/en-us/articles/40437020299927-Security-CVE-2026-29205-cPanel-WHM-WP2-Security-Update-May-13-2026

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告。