cPanel baru saja mengungkap tiga kerentanan keamanan kritis yang memengaruhi platform cPanel & WHM serta WP Squared (WP2). Ketiga celah keamanan tersebut dilacak dengan kode CVE-2026-29201, CVE-2026-29202, dan CVE-2026-29203.
Baca Juga : Sejarah dan Versi Windows dari DOS Hingga Sekarang
Kerentanan ini sudah mendapatkan patch resmi pada 8 Mei 2026. Namun, sebelum diperbaiki, bug tersebut memungkinkan penyerang melakukan pembacaan file sembarangan (arbitrary file read), injeksi kode Perl, hingga serangan denial-of-service (DoS). Karena itu, penyedia hosting dan administrator server disarankan segera melakukan pembaruan sistem.
Sebelumnya, pada April lalu, cPanel juga sempat menghadapi kerentanan lain dengan kode CVE-2026-41940 yang diketahui telah dieksploitasi secara aktif di internet dan memungkinkan penyerang melewati mekanisme login sepenuhnya.
CVE-2026-29201: Celah Path Traversal yang Bisa Membaca File Server
Kerentanan pertama ditemukan pada pemanggilan adminbin feature::LOADFEATUREFILE. Masalah muncul karena sistem tidak memvalidasi parameter nama file dengan benar.
Akibatnya, penyerang dapat memanfaatkan teknik path traversal dengan memasukkan jalur relatif tertentu untuk membaca file apa pun di server dan membuatnya dapat diakses publik.
Celah seperti ini sangat berbahaya karena bisa membuka akses ke file sensitif, termasuk file konfigurasi, kredensial login, hingga private key server. Jika berhasil dimanfaatkan, penyerang berpotensi mendapatkan pijakan awal untuk melakukan kompromi lebih lanjut.
CVE-2026-29202: Injeksi Kode Perl dengan Risiko Pengambilalihan Server
Kerentanan kedua menjadi yang paling serius di antara ketiganya. Bug ini ditemukan pada API create_user, tepatnya di parameter plugin.
Ketika input yang tidak difilter masuk ke parameter tersebut, penyerang dapat menyisipkan dan mengeksekusi kode Perl secara arbitrer di server.
Jenis kerentanan seperti ini termasuk kategori remote code execution (RCE), yang dikenal memiliki tingkat risiko sangat tinggi. Jika berhasil dieksploitasi, pelaku dapat mengambil alih server sepenuhnya, mencuri data, hingga menanam malware maupun backdoor pada lingkungan hosting.
CVE-2026-29203: Symlink Tidak Aman Picu Serangan DoS
Kerentanan ketiga berasal dari penanganan symlink yang tidak aman. Celah ini memungkinkan pengguna melakukan perubahan izin (chmod) terhadap file arbitrer di sistem.
Kondisi tersebut dapat dimanfaatkan untuk mengganggu operasi penting server hingga menyebabkan serangan denial-of-service (DoS). Tidak hanya itu, bug ini juga berpotensi digabungkan dengan kerentanan lain untuk meningkatkan hak akses (privilege escalation) dan memperoleh akses administratif secara ilegal.
Versi yang Terdampak dan Patch Resmi
Semua kerentanan di atas memengaruhi rentang versi cPanel & WHM yang sama. cPanel sendiri telah merilis patch untuk seluruh cabang versi aktif.
Administrator disarankan segera melakukan pembaruan ke versi berikut atau yang lebih baru:
- 11.136.0.9
- 11.134.0.25
- 11.132.0.31
- 11.130.0.22
- 11.126.0.58
- 11.124.0.37
- 11.118.0.66
- 11.110.0.116
- 11.110.0.117
- 11.102.0.41
- 11.94.0.30
- 11.86.0.43
Sementara itu, pengguna WP Squared disarankan melakukan upgrade ke versi 11.136.1.10 atau lebih tinggi.
Untuk server yang masih menggunakan CentOS 6 atau CloudLinux 6, administrator dapat melakukan update langsung ke versi 110.0.114 dengan menjalankan perintah berikut:
sed -i “s/CPANEL=.*/CPANEL=cl6110/g” /etc/cpupdate.conf
Cara Melakukan Update cPanel
Administrator dapat langsung menjalankan proses pembaruan menggunakan perintah berikut:
/scripts/upcp –force
Setelah update selesai, cek versi cPanel yang terpasang menggunakan:
/usr/local/cpanel/cpanel -V
Baca Juga : Celah Keamanan TeamViewer DEX Bisa Picu Serangan DoS dan Kebocoran Data
Pastikan versi yang digunakan sudah termasuk dalam daftar patch resmi di atas sebelum menganggap proses mitigasi selesai.
Dengan adanya celah CVE-2026-29202 yang memungkinkan eksekusi kode langsung serta CVE-2026-29203 yang membuka peluang privilege escalation, kerentanan ini menjadi ancaman serius terutama bagi lingkungan shared hosting yang digunakan banyak pengguna dalam satu server.
Penyedia hosting yang masih menjalankan cPanel tanpa patch berisiko mengalami kompromi server secara penuh maupun pergerakan lateral antar akun hosting. Karena itu, administrator disarankan segera menerapkan patch terbaru dan memeriksa log server untuk mendeteksi kemungkinan aktivitas eksploitasi.
