⚠️ SECURITY ADVISORY 13/05/2026
Cảnh báo bảo mật cPanel WHM tháng 5/2026: 5 lỗ hổng CVE cần vá ngay
cPanel phát hành bản vá khẩn 13/5/2026 cho 5 lỗ hổng từ trung bình tới cao, CVSS lên tới 8.6. SQL Injection, CRLF Injection, MITM trong DNS Cluster, leo thang đặc quyền và thực thi với quyền root đều có mặt. Bài viết tổng hợp chi tiết và hướng dẫn admin Việt cập nhật trong 30 phút.
📌 Tóm tắt nhanh (TL;DR)
- 5 CVE công bố cùng ngày 13/5/2026: CVE-2026-29205, CVE-2026-29206, CVE-2026-32991, CVE-2026-32992, CVE-2026-32993.
- Mức nghiêm trọng cao nhất: CVE-2026-29205 với CVSS 8.6 (Execution with Unnecessary Privileges, ảnh hưởng WP2 và các nhánh chính).
- Phiên bản bị ảnh hưởng: cPanel và WHM 86, 94, 102, 110, 110 CL6, 118, 124, 126, 130, 132, 134, 136 và 136 (WP2).
- Nhánh được vá: 11.118, 11.126, 11.130, 11.132 và 11.136 (WP2) đã có bản vá auto-update.
- Hành động ngay: Kiểm tra phiên bản bằng
/usr/local/cpanel/cpanel -V, chạy/scripts/upcp --forcenếu chưa lên bản mới. - Tại thời điểm công bố: Chưa ghi nhận khai thác công khai, nhưng admin nên ưu tiên vá trong 24 giờ.
Bối cảnh: Vì sao đợt vá tháng 5/2026 của cPanel quan trọng với doanh nghiệp Việt
cPanel và WHM là panel quản trị hosting phổ biến nhất thế giới, phục vụ phần lớn shared hosting, VPS, dedicated server tại Việt Nam. Theo BuiltWith, hơn 70 triệu domain trên toàn cầu chạy trên hệ thống cPanel.
Trong tháng 5/2026, cPanel phát hành 2 đợt vá liên tiếp:
- 08/5/2026: 3 lỗ hổng CVE-2026-29201, CVE-2026-29202, CVE-2026-29203 (CVSS từ 4.3 tới 8.8).
- 13/5/2026: 5 lỗ hổng CVE-2026-29205, CVE-2026-29206, CVE-2026-32991, CVE-2026-32992, CVE-2026-32993 (CVSS từ 7.1 tới 8.6).
Bài viết này tập trung vào đợt 13/5 vì có CVSS cao nhất và ảnh hưởng cả nhánh WP2 dùng cho hosting reseller. Admin Việt đang vận hành VPS cPanel cho công ty, hoặc đang dùng shared hosting có cPanel, nên kiểm tra ngay để xác nhận provider đã vá.
Chi tiết 5 lỗ hổng CVE đợt 13/5/2026
Mỗi lỗ hổng dưới đây đều được cPanel xếp loại HIGH SEVERITY. Tại thời điểm công bố, chưa ghi nhận PoC công khai hay khai thác trong tự nhiên, nhưng cPanel khuyến nghị vá càng sớm càng tốt.
Thực thi với quyền root không cần thiết trong cPanel và WHM
Một thành phần nội bộ chạy với đặc quyền cao hơn mức cần thiết, cho phép kẻ tấn công từ mạng (không cần xác thực) truy cập dữ liệu nhạy cảm nếu khai thác thành công. Đây là CVE có điểm CVSS cao nhất trong đợt vá 13/5.
SQL Injection trong sqloptimizer chạy với quyền root
Khi tính năng Slow Query Logging được bật, script sqloptimizer xử lý truy vấn không kiểm tra đầu vào đúng cách, cho phép chèn SQL độc hại thực thi với quyền root MySQL trên server.
Thành viên team leo thang đặc quyền lên team owner
Kiểm tra phân quyền không chặt giữa các thành viên team trong cPanel, cho phép user có quyền thấp giành quyền team owner và truy cập toàn bộ cấu hình tài khoản team.
DNS Cluster vô hiệu hóa xác minh SSL gây MITM
Trong hệ thống DNS Cluster của cPanel, xác minh chứng chỉ SSL bị tắt mặc định. Kẻ tấn công ở vị trí trung gian (man-in-the-middle) có thể giả mạo server peer và lấy thông tin xác thực truyền giữa các node DNS.
CRLF Injection qua endpoint /unprotected/nova_error
Tham số status trên endpoint /unprotected/nova_error không được làm sạch ký tự xuống dòng, cho phép kẻ tấn công chưa xác thực chèn HTTP header tùy ý vào response.
Phiên bản bị ảnh hưởng và bản đã vá
Theo dữ liệu NVD và advisory chính thức của cPanel, các nhánh sau cần cập nhật ngay khi auto-update đẩy về:
| Nhánh cPanel & WHM | Phiên bản bị ảnh hưởng | Bản đã vá (≥) |
|---|---|---|
| 136 (WP2) | 11.136.1.0 và cũ hơn | 11.136.1.12 |
| 132 | 11.132.0.0 và cũ hơn | 11.132.0.32 |
| 130 | 11.130.0.0 và cũ hơn | 11.130.0.23 |
| 126 | 11.126.0.0 và cũ hơn | 11.126.0.59 |
| 118 LTS | 11.118.0.0 và cũ hơn | Đã có bản vá, kiểm tra cPanel |
| 86, 94, 102, 110, 110 CL6, 124, 134 | Phiên bản EOL hoặc legacy | Nâng cấp lên nhánh được hỗ trợ |
Hành động cần làm trong 30 phút
1
Kiểm tra phiên bản hiện tại
SSH vào server và chạy lệnh kiểm tra version. So sánh với bảng phiên bản đã vá ở trên.
2
Bật auto-update
Vào WHM > Update Preferences, đặt cPanel Updates ở chế độ Automatic. Đảm bảo Daily Process Log không bị tắt để nhận thông báo lỗi update.
3
Chạy update thủ công
Nếu auto-update chưa kích hoạt, chạy lệnh upcp –force để buộc cPanel kéo bản mới nhất từ mirror.
4
Tắt Slow Query Logging tạm thời
Nếu chưa thể vá ngay, vào WHM > MySQL Configuration, tắt Slow Query Logging để giảm rủi ro khai thác CVE-2026-29206.
5
Kiểm tra DNS Cluster
Nếu đang dùng DNS Cluster, kiểm tra log /usr/local/cpanel/logs để phát hiện kết nối SSL bất thường, xoay token DNS sync sau khi vá xong.
6
Audit log thâm nhập
Sau khi vá, rà soát log access nginx/apache 30 ngày trước đó tìm pattern /unprotected/nova_error có ký tự CR/LF lạ trong query string.
Lệnh kiểm tra phiên bản cPanel
/usr/local/cpanel/cpanel -V
Lệnh cập nhật cPanel thủ công
/scripts/upcp --force
Lệnh kiểm tra log update gần nhất
tail -200 /var/cpanel/updatelogs/$(ls -t /var/cpanel/updatelogs | head -1)
Doanh nghiệp Việt dùng shared hosting cần làm gì?
Nếu công ty bạn đang thuê shared hosting có cPanel (không tự quản lý VPS), rủi ro thực tế phụ thuộc vào nhà cung cấp đã vá hay chưa. Các bước nên làm:
- Liên hệ nhà cung cấp hosting hỏi rõ phiên bản cPanel đang chạy và lịch cập nhật cho 5 CVE ngày 13/5.
- Đổi mật khẩu cPanel sau khi nhà cung cấp xác nhận đã vá, vì có khả năng credentials bị lộ qua MITM nếu DNS Cluster có vấn đề.
- Xoay khóa API và FTP trong cPanel, bao gồm cả Application Password nếu có.
- Bật 2FA cho tài khoản cPanel nếu nhà cung cấp hỗ trợ.
- Sao lưu offline toàn bộ database và file trước khi update, phòng trường hợp update gây gián đoạn dịch vụ.
Với khách dùng giải pháp hosting và license cPanel qua TND, đội ngũ kỹ thuật chủ động theo dõi advisory cPanel hàng ngày và đẩy bản vá trong vòng 24 giờ kể từ khi cPanel phát hành.
Câu hỏi thường gặp
Tôi đang dùng cPanel phiên bản 11.118 LTS, có an toàn không?
Phiên bản 11.118 LTS đã có bản vá cho cả 5 CVE đợt 13/5. Bạn cần đảm bảo build hiện tại là bản vá mới nhất bằng lệnh /usr/local/cpanel/cpanel -V và đối chiếu với bảng phiên bản ở trên.
Auto-update cPanel của tôi đang tắt, làm sao update nhanh?
SSH vào server với quyền root, chạy /scripts/upcp –force. Quá trình mất 15-45 phút tùy băng thông. Theo dõi /var/cpanel/updatelogs/ để xem chi tiết quá trình update.
Slow Query Logging có cần thiết không, có nên tắt vĩnh viễn?
Slow Query Logging hữu ích để debug hiệu năng database, không nên tắt vĩnh viễn. Chỉ tắt tạm thời nếu chưa thể vá CVE-2026-29206. Sau khi nâng lên bản vá mới, bật lại bình thường.
Tôi đang dùng cPanel phiên bản 86, có nâng được lên 118 trực tiếp không?
Không. cPanel chỉ cho phép nâng nhánh chính (major branch) lên kế tiếp. Bạn cần lên kế hoạch nâng tuần tự qua các nhánh trung gian, hoặc dựng VPS mới với 118 LTS rồi migrate sang. TND có thể hỗ trợ kế hoạch migration nếu cần.
Có cần đổi mật khẩu cPanel sau khi vá không?
Khuyến nghị đổi nếu server có bật DNS Cluster trước thời điểm vá (CVE-2026-32992). Nếu chỉ dùng cPanel standalone không tham gia DNS Cluster, đổi mật khẩu không bắt buộc nhưng vẫn là thói quen tốt sau bất kỳ đợt vá lớn nào.
TND có cung cấp license cPanel và hỗ trợ kỹ thuật cho doanh nghiệp Việt không?
Có. TND cung cấp license cPanel chính hãng cho doanh nghiệp với hóa đơn VAT, hợp đồng kinh tế đầy đủ, hỗ trợ kỹ thuật tiếng Việt 24/7 và chủ động cập nhật advisory mới mỗi khi cPanel phát hành. Liên hệ qua Messenger để được tư vấn cụ thể.
Cần tư vấn license cPanel hoặc hỗ trợ cập nhật bảo mật?
Đội TND theo dõi advisory cPanel hàng ngày và hỗ trợ doanh nghiệp Việt cập nhật bản vá trong 24 giờ. License cPanel chính hãng kèm hóa đơn VAT, hợp đồng kinh tế và tư vấn kỹ thuật tiếng Việt 24/7.
