Accueil > Blog > Plusieurs vulnérabilités cPanel exposées en quelques semaines

Plusieurs vulnérabilités cPanel exposées en quelques semaines

mai 15, 2026 Par Thib Tutoriel
Plusieurs vulnérabilités cPanel exposés en quelques semaines

Les hébergeurs web à travers le monde se battent actuellement contre la montre. Ils doivent rapidement corriger une vague massive de vulnérabilités de sécurité affectant cPanel et WebHost Manager (WHM).

L’industrie entière surveille donc les diverses failles régulièrement divulguées qui accordent un accès non authentifié à diverses ressources sensibles du système et permettent potentiellement de compromettre un serveur.

Des récentes mises à jour de sécurité du cPanel corrigent plusieurs failles de haute gravité qui posaient un risque critique pour les hébergements partagés. Il se peut toutefois que cette vague sans précédent se poursuive.

Nous avons donc cru bon aborder en détails cette série impressionnantes de mises à jour liée à la découverte de nombreuses failles de sécurité.

Les vulnérabilités de cPanel découvertes au cours des dernières semaines

Comme nous l’avons mentionné, cPanel et WHM ont révélé plusieurs failles rendant leurs systèmes vulnérables. La plus alarmante des vulnérabilités récemment corrigées porte un score CVSS critique de 9,8.

D’autres bogues graves ouvraient aussi la porte à des conditions de déni de service (DoS) et à de graves abus de compte. Ce sont donc une série de menaces très grave qui ont dues être adressées rapidement.

Parmi les menaces spécifiquement détaillées, citons CVE-2026-29202. C’est un problème grave avec un score CVSS de 8,8, et représente donc un risque urgent à régler. Il découle d’une validation d’entrée insuffisante du paramètre « plugin » lors d’un appel API « create_user ».

S’il est exploité, un attaquant peut exécuter du code Perl arbitraire avec les permissions système de l’utilisateur système d’un compte déjà authentifié.

Une autre faille récemment corrigée, CVE-2026-29201, permet des lectures de fichiers arbitraires en raison d’une mauvaise validation des noms de fichiers de fonctionnalités. Il expose ainsi les configurations de serveurs sous-jacentes à des utilisateurs non autorisés.

Certaines menaces guettent aussi les systèmes Linux

Le paysage des menaces pour les serveurs d’hébergement basés sur Linux est encore compliqué. Il inclut des vulnérabilités concurrentes dans les logiciels d’infrastructure sous-jacents.

Le 7 mai 2026, des chercheurs ont divulgué « Dirty Frag » (suivi sous les noms CVE-2026-43284 et CVE-2026-43500). Il s’agit d’un défaut d’escalade de privilèges local dans le cache de page du noyau Linux.

Cet exploit permet à un utilisateur local de bas niveau d’obtenir facilement un contrôle administratif racine complet.

La vulnérabilité Exim CVE-2026-40684 guettant les services de messagerie intégrés de nombreux serveurs d’hébergement a aussi été mises à jour, et révélé des risques importants.

Ce défaut de gravité moyenne permet aux attaquants de planter des instances de connexion en fournissant des données DNS mal formées dans les enregistrements PTR, entraînant une condition de déni de service sur les systèmes utilisant musl libc.

Ce sont donc de nombreux systèmes qui se sont révélé avoir des failles, au cours des dernières semaine. cPanel et WHM ont toutefois émis un nettement plus grand nombre de correctifs de sécurité que les autres systèmes.

Une série de correctifs et de mises à jour sont disponibles

Les administrateurs système gérant l’infrastructure affectée doivent prioriser immédiatement la mise à jour des correctifs afin d’empêcher la prise de contrôle du serveur.

Les mises à jour du cPanel résolvent ces chemins critiques vers l’exécution du code et l’élévation de privilèges pour plusieurs branches de version, y compris les systèmes exécutant les versions 11.136.0.8 et inférieures.

Les équipes de sécurité doivent rapidement mettre à jour les installations cPanel, WHM et WP Squared avec les dernières versions disponibles.

Elles doivent également vérifier simultanément les journaux d’accès au serveur pour détecter les appels API non autorisés ou les lectures de fichiers locaux inhabituelles qui pourraient indiquer une exploitation active.

Des failles également découvertes dans d’autres systèmes essentielles

Coome nous l’avons déjà évoqué, cPanel n’est pas le seul système important qui a effectué des mises à jour au cours des dernières semaines après avoir découvert des vulnérabilités.

Les système d’exploitation Apache et NGinx, ainsi que le système d’opération Linux ont également avertis leurs utilisateurs de menaces potentielles. C’est ainsi toute l’infrastructure de base utilisée par l’industrie qui était exposée.

Ces nombreux correctifs ont donné naissance à des rumeur sur l’implication possible de la dernière version de Claude d’Anthropic.

L’entreprise avait averti il y a quelques semaines que sa nouvelle IA serait capable de hacker plus de 80% à 90% des sites web. Elle avait donc choisi de la remettre à une sélection d’entreprises clés avant de la rendre publique.

Cette série inusité de correctifs de sécurité liés à de nombreux systèmes critiques pourraient donc être la suite de l’annonce d’Anthropic. Son ampleur laisse croire que les estimations d’Anthropic sur le nombre de site vulnérables n’étaient pas exagérées.

Pour conclure sur les failles de sécurité découvertes dans cPanel

L’industrie de l’hébergement web s’efforce depuis des décennies à rendre son infrastructure numérique et ses systèmes plus sécuritaires. Les dernières semaines ont toutefois été un rappel brutal qu’il reste encore beaucoup de travail à faire.

Une foule de logiciels et systèmes critiques se révèlent avoir des vulnérabilités. Certaines d’entre elles existent d’ailleurs depuis des décennies, et n’avaient jamais été exploitées. L’avènement de l’IA a toutefois permis de les mettre à jour très rapidement et facilement. Il est donc devenu essentiel de les corriger le plus rapidement possible, avant qu’elles ne soient exploitées.

Nous espérons que cet articles vous a plus et vous a éclairé sur les failles de sécurité découvertes dans cPanel et d’autres systèmes clés. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs. Plusieurs d’entre eux pourraient vous aider et vous guider dans le choix de votre hébergeur web.