### 脆弱性の詳細 特定された脆弱性は以下の通りです。 * **CVE-2026-29201** (CVSSスコア: 4.3) - `feature::LOADFEATUREFILE` adminbin コールにおける機能ファイル名の入力検証不備。これにより、任意のファイル読み取りが可能になる可能性があります。 * **CVE-2026-29202** (CVSSスコア: 8.8) - `create_user API` コールにおける `plugin` パラメータの入力検証不備。これにより、既に認証されたアカウントのシステムユーザーとして、任意の Perl コード実行が可能になる可能性があります。 * **CVE-2026-29203** (CVSSスコア: 8.8) - chmod を使用して任意のファイルのアクセス権限を変更できる、安全でないシンボリックリンク処理の脆弱性。これにより、サービス拒否または特権昇格につながる可能性があります。 ### 影響を受けるバージョンと緩和策 これらの脆弱性は、以下の **cPanel** および **WHM** バージョンで修正されています。 * cPanel および WHM: * 11.136.0.9 以降 * 11.134.0.25 以降 * 11.132.0.31 以降 * 11.130.0.22 以降 * 11.126.0.58 以降 * 11.124.0.37 以降 * 11.118.0.66 以降 * 11.110.0.116 以降 * 11.110.0.117 以降 * 11.102.0.41 以降 * 11.94.0.30 以降 * 11.86.0.43 以降 * WP Squared: * 11.136.1.10 以降 **cPanel** は、CentOS 6 または CloudLinux 6 を使用している顧客向けに、バージョン 110.0.114 を直接アップデートとしてリリースしました。ユーザーは、これらの脆弱性から保護するために、最新の利用可能なバージョンにアップデートすることを強く推奨します。 ### 事前の悪用とリスク 現在、これらの特定の脆弱性が積極的に悪用されている証拠はありませんが、今回の開示は、最近 **CVE-2026-41940** が zero-day 脆弱性として積極的に悪用されていたことが発見されたことに続くものです。この脆弱性は、脅威アクターによって **Mirai** botnet の亜種や **Sorry** ransomware を配布するために利用されました。 潜在的な影響と、最近 **cPanel** の脆弱性が実際に悪用された経緯を考慮すると、迅速なパッチ適用が極めて重要です。