cPanel phát hành bản vá khẩn 13/5/2026 cho 5 lỗ hổng từ trung bình tới cao, CVSS lên tới 8.6. SQL Injection, CRLF Injection, MITM trong DNS Cluster, leo thang đặc quyền và thực thi với quyền root đều có mặt. Bài viết tổng hợp chi tiết và hướng dẫn admin Việt cập nhật trong 30 phút.
/usr/local/cpanel/cpanel -V, chạy /scripts/upcp --force nếu chưa lên bản mới.status trên endpoint /unprotected/nova_error không được làm sạch ký tự xuống dòng, cho phép kẻ tấn công chưa xác thực chèn HTTP header tùy ý vào response.| Nhánh cPanel & WHM | Phiên bản bị ảnh hưởng | Bản đã vá (≥) |
|---|---|---|
| 136 (WP2) | 11.136.1.0 và cũ hơn | 11.136.1.12 |
| 132 | 11.132.0.0 và cũ hơn | 11.132.0.32 |
| 130 | 11.130.0.0 và cũ hơn | 11.130.0.23 |
| 126 | 11.126.0.0 và cũ hơn | 11.126.0.59 |
| 118 LTS | 11.118.0.0 và cũ hơn | Đã có bản vá, kiểm tra cPanel |
| 86, 94, 102, 110, 110 CL6, 124, 134 | Phiên bản EOL hoặc legacy | Nâng cấp lên nhánh được hỗ trợ |
/usr/local/cpanel/cpanel -V/scripts/upcp --forcetail -200 /var/cpanel/updatelogs/$(ls -t /var/cpanel/updatelogs | head -1)