世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

cPanel/WHMに新たな脆弱性3件、今すぐアップデートしたい理由

キーポイント

cPanelとWHMに3件の脆弱性が見つかった
うち2件はCVSS 8.8で、かなり危険度が高い
影響はコード実行、権限昇格、DoS（サービス停止）の可能性
既に修正版が公開されており、早めのアップデートが推奨
現時点では悪用の確認はないが、放置する理由はまったくない

Webホスティング業界で長く使われている管理ツール、cPanel と WHM (Web Host Manager) に、3件の脆弱性が見つかりました。
The Hacker News の記事によると、cPanel側はすでに修正アップデートを公開していて、ユーザーに対して「Patch Now」、つまり今すぐ当ててほしいと呼びかけています。

率直に言うと、これはかなり重要な話です。
cPanel/WHMは、サーバー管理の現場で「地味だけど超重要」な存在です。こういう管理系ソフトに穴があると、個別のWebサイト1つの話では済まず、複数のホスティング環境や顧客データに波及する可能性があるからです。

何が起きたのか

今回修正された脆弱性は次の3つです。

1. CVE-2026-29201

CVSS 4.3
feature::LOADFEATUREFILE の adminbin 呼び出しで、feature file name の入力検証が不十分
結果として、任意のファイル読み取りにつながる可能性がある

ざっくり言うと、「ファイル名のチェックが甘かったせいで、見ちゃダメなファイルを読まれるかもしれない」という話です。
CVSS 4.3なので最上位の危険度ではありませんが、情報漏えいの入口になりうるので軽視はできません。

2. CVE-2026-29202

CVSS 8.8
create_user API の plugin パラメータに対する入力検証が不十分
認証済みアカウントの system user 権限で、任意の Perl code を実行される可能性がある

これはかなり嫌なやつです。
「すでにログインできるユーザー」が悪用の起点になるとはいえ、そこからコード実行されるのは危険度が高いです。
しかも Perl code execution なので、サーバー側で意図しない処理を走らされる恐れがあります。
個人的には、こういう「APIのパラメータ1個で大事故につながる」系の脆弱性は本当に怖いと思います。見た目は小さくても、被害はデカいからです。

3. CVE-2026-29203

CVSS 8.8
unsafe symlink handling vulnerability
chmod を使って、任意のファイルのアクセス権を変更できる可能性
結果として、DoS（サービス停止）や権限昇格につながる恐れがある

ここで出てくる symlink（シンボリックリンク） は、いわば「別のファイルへのショートカット」のようなものです。
これの扱いが雑だと、本来触るべきでないファイルにまで操作が届いてしまうことがあります。
chmod はファイルの権限を変えるコマンドですが、もし勝手に重要ファイルの権限を変えられたら、サービスが止まるのも無理はありません。
しかも権限昇格まで絡むので、**“ただの設定ミスっぽい話”では済まない**のがポイントです。

修正版が出ているバージョン

cPanel は、以下のバージョンで修正済みとしています。

cPanel and WHM

11.136.0.9 以降
11.134.0.25 以降
11.132.0.31 以降
11.130.0.22 以降
11.126.0.58 以降
11.124.0.37 以降
11.118.0.66 以降
11.110.0.116 以降
11.110.0.117 以降
11.102.0.41 以降
11.94.0.30 以降
11.86.0.43 以降

WP Squared

11.136.1.10 以降

旧環境向けの更新

CentOS 6 / CloudLinux 6 を使っているユーザー向けに、110.0.114 が直接アップデートとして提供されている

つまり、使っている系統によって当てるべき修正版が違います。
こういうときに大事なのは、「最新にすればいいでしょ」ではなく、自分の運用している枝番をちゃんと確認することです。
サーバー管理の世界では、この確認漏れが地味に事故を生みます。

どれくらい急ぐべきか

結論から言うと、かなり急いだほうがいいです。
理由はシンプルで、今回は CVSS 8.8 が2件あるからです。CVSSは脆弱性の危険度を数字で表す指標で、8点台後半はかなり深刻な部類です。

しかも cPanel/WHM は、単なるWebアプリではなく、サーバー全体の管理に近い権限を持つことが多いので、攻撃者にとってはおいしい標的です。
一度突破されると、Webサイトの改ざんだけでなく、顧客情報、メール、バックアップ、他のサービスにまで被害が広がる可能性があります。

「まだ悪用されていない」でも安心できない理由

記事では、現時点で実際の悪用は確認されていないとしています。
ただし、ここが油断ポイントです。

The Hacker News の本文では、これらの発表が別の重大な欠陥（CVE-2026-41940）がゼロデイとして武器化された直後だとも触れています。
ゼロデイとは、修正前に攻撃される脆弱性のことです。
つまり、「まだ見つかってないから安全」ではなく、見つかった直後から攻撃の準備が始まる世界なんですよね。

個人的には、こういうニュースを見るたびに思うのですが、
“未確認の悪用” は “安全” の同義語ではないです。
むしろ、公開された瞬間からスキャンや攻撃が始まると思って動いたほうが現実的ではないでしょうか。

一般の利用者は何をすればいい？

もしあなたが cPanel/WHM を管理しているなら、やることはかなり明快です。

自分のバージョンを確認する
該当する修正版へアップデートする
アップデート後に動作確認する
可能なら 不要な管理機能やアクセス経路を見直す

特にホスティング事業者や社内で複数台を運用している場合は、
「1台だけ更新したつもり」が一番危ないです。
こういう更新は、棚卸しとセットで進めるのが安全だと思います。

まとめ: 地味だけど、放置すると痛いタイプの脆弱性

今回のニュースは、派手な新種マルウェアの話ではありません。
でも、実際の運用現場では、こういう管理ソフトの脆弱性がいちばん面倒だったりします。

攻撃面が広い
影響範囲が大きい
更新が遅れると被害が深くなる

という、あまり嬉しくない三拍子がそろっているからです。

なので、cPanel/WHM を使っているなら、今回の修正は後回しにしない方がいいです。
「今すぐ全部止めて更新しろ」とまでは言いませんが、少なくとも優先度は高く置くべき案件だと思います。

参考: cPanel, WHM Release Fixes for Three New Vulnerabilities — Patch Now

同じ著者の記事

Gemini API File Searchがマルチモーダル対応に。RAGをもっと実用的にするGoogleの新アップデート

Googleが、Gemini APIのFile Searchツールを大きくアップデートしました。今回のポイントは、ざっくり言うと「テキストだけでなく画像もまとめて検索できるようになった」こと、そして「検索の根拠をページ単位で示しやすくなった」ことです。これ、地味に見えてかなり重要です。RAG（検索拡張生成）を実際にアプリへ入れようとすると、「欲しい情報がうまく見つからない」「どの資料のどこを根拠に答えたのか説明しにくい」といった壁にぶつかりがちなんですよね。Googleはそこを、かなり実務寄りに改善してきた印象です。 File Searchがmultimodal対応 テキストだけでなく、画像も一緒に扱えるようになった custom metadataに対応 ファイルに `department: Legal` のようなラベルを付けて、整理・絞り込みしやすくなる page-level citationsを追加 どのページを根拠に答えたかを示しやすくなり、透明性が上がる RAGをより「実用」寄りに改善 プロトタイプだけでなく、業務アプリ