Impatto Sistemico

Critico (77.69)

Sintesi

Aggiornamenti di sicurezza sanano cinque vulnerabilità di gravità “alta”, tra cui una con proof of concept (PoC) disponibile, presenti nei software cPanel & WHM e WP Squared, noti pannelli di controllo per l’hosting web.

Tipologia

• Arbitrary File Read
• Privilege Escalation
• Information Disclosure
• Tampering
• Security Restrictions Bypass

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-29205 – di tipo “ Execution with Unnecessary Privileges ” e con CVSS v3.1 pari a 8.6 – interessa il demone cpdavd , usato per servizi come calendario, contatti e WebDAV. Un utente malintenzionato remoto, tramite una richiesta HTTP opportunamente predisposta, potrebbe ottenere accesso in lettura a file arbitrari sui sistemi interessati.

Prodotti e/o versioni affette

cPanel & WHM

• 11.124.x, versioni precedenti alla 11.124.0.40
• 11.126.x, versioni precedenti alla 11.126.0.61
• 11.130.x, versioni precedenti alla 11.130.0.25
• 11.132.x, versioni precedenti alla 11.132.0.34
• 11.134.x, versioni precedenti alla 11.134.0.28
• 11.136.x, versioni precedenti alla 11.136.0.12

WP Squared

• 11.136.x, versioni precedenti alla 11.136.1.15

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.