ثلاث ثغرات، ولوحة تحكم واحدة: درس cPanel الخطير لمدافعي الاستضافة

مقدمة

عندما يتعطل البرنامج الذي يدير خادم الاستضافة، نادرًا ما تقتصر المشكلة على موقع واحد. ولهذا تكتسب أحدث تصحيحات cPanel وWeb Host Manager أهمية كبيرة: فالثغرات المبلغ عنها تقع في طبقة التحكم، حيث تُدار أسماء الملفات والإضافات والأذونات وقرارات السياسات بدرجة عالية من الثقة. وفي مثل هذه البيئة، يمكن لخطأ بسيط في التحقق أن يتحول إلى حدث أمني على مستوى الخادم بأكمله.

حقائق سريعة

• أصدرت cPanel تحديثات لثلاث ثغرات تتبع CVE-2026-29201 وCVE-2026-29202 وCVE-2026-29203.
• تشمل الآثار المبلغ عنها قراءة ملفات عشوائية، وتنفيذ تعليمات Perl برمجية عشوائية، وسلوك chmod غير آمن على ملفات عشوائية.
• تغطي الإصلاحات عدة فروع من cPanel/WHM، مع مسار تحديث مباشر إلى 110.0.114 لبعض مستخدمي CentOS 6 وCloudLinux 6.
• ه لم تكن هناك أدلة على استغلال فعلي في العالم الواقعي، لكنه يستشهد أيضًا بـ Censys التي أفادت بوجود مؤشرات على تسليح سريع بعد الإفصاح.
• ينطبق النمط التقني على نقاط الضعف الكلاسيكية في التحقق من المدخلات، والتحكم في المسارات، والتعامل مع الروابط الرمزية.

المتن

قراءة Netcrook لهذا الإفصاح بسيطة: WHM ليس مجرد لوحة إدارة أخرى. إنه الواجهة المميزة التي تتحكم في كيفية تصرف عقدة الاستضافة. وهذا يجعل استدعاءاته الداخلية وواجهاته البرمجية شديدة الحساسية على نحو غير معتاد. ووفقًا للتقرير، تؤثر CVE-2026-29201 في مسار الإدارة feature::LOADFEATUREFILE، حيث قد يسمح ضعف التحقق من اسم الملف بقراءة ملفات عشوائية. وفي لوحة تحكم، هذا ليس مجرد تسريب بسيط؛ فقد يكشف عن ملفات الإعدادات أو الأسرار أو بيانات الحسابات التي تساعد المهاجمين على تجهيز وصول لاحق.

الثغرة CVE-2026-29202 أكثر مباشرة. إذ يوصف الخلل بأنه تحقق غير كافٍ من المعلمة plugin في create_user API، مع احتمال تنفيذ تعليمات Perl برمجية عشوائية ضمن سياق مستخدم نظام مصادق عليه. وحتى من دون افتراض الاستيلاء الكامل على الخادم، فإن هذه القدرة على التنفيذ خطيرة لأنها قد تحول سير عمل إداري عادي إلى مسار عمل يسيطر عليه المهاجم.

أما الخلل الثالث، CVE-2026-29203، فيذكّرنا بأن أخطاء نظام الملفات قد تكون خطيرة بقدر أخطاء الشيفرة. فالتعامل غير الآمن مع الروابط الرمزية، عند اقترانه بـ chmod، قد يسمح لمستخدم بتغيير أذونات ملف عشوائي، مما قد يتسبب في تعطيل الخدمة أو تصعيد الامتيازات. وهذا فشل كلاسيكي في حدود الثقة: فالشيفرة كانت تقصد لمس هدف معين، لكن نظام الملفات حلّ هدفًا آخر.

الدرس الدفاعي ليس مجرد “إصلاح سريع” رغم أن التحديث ضروري. ينبغي للمديرين التحقق من الإصدارات المثبتة، وتقييد تعرّض WHM للشبكات الموثوقة، ومراجعة قوائم الميزات، وتدقيق استخدام الإضافات كما لو أن كل معلمة معادية حتى يثبت العكس. يحدد المصدر المشكلات التقنية والإصدارات المصححة، لكنه يترك صورة الاستغلال في العالم الواقعي مختلطة: لا توجد أدلة على استغلال فعلي، ومع ذلك أفادت Censys بوجود مؤشرات على تسليح الثغرات. بالنسبة للمدافعين، يكفي هذا المزيج للتعامل مع النافذة باعتبارها خطرًا نشطًا لا مجرد فضول نظري.

الخلاصة

الدرس الأوسع هو أن أمن الاستضافة يعيش أو يموت عند طبقة التحكم. قد تكون المواقع هي الأصل المرئي، لكن اللوحة هي الآلية التي تقف تحتها. وعندما تتعامل هذه الآلية مع المدخلات أو المسارات أو الأذونات بشكل خاطئ، يمكن أن يمتد نطاق الضرر إلى ما هو أبعد بكثير من حساب واحد.

TECHCROOK

جدار حماية عتادي: يمكن لجدار حماية عتادي صغير أن يساعد مسؤولي الاستضافة على تقييد الوصول إلى cPanel/WHM ضمن نطاقات IP موثوقة، وتقسيم حركة إدارة الشبكة، وتقليل التعرض من الإنترنت العام. وهو تحكم عملي لبيئات الخوادم حيث ينبغي أن تظل لوحة الإدارة محدودة بإحكام.

Scheda Techcrook: Hardware firewall

WIKICROOK

• طبقة التحكم: الطبقة الإدارية التي تدير المستخدمين والخدمات والسياسات على الخادم.
• التحقق من المدخلات: فحص البيانات غير الموثوقة قبل استخدامها في ملف أو أمر أو عملية API.
• قراءة ملفات عشوائية: خلل قد يتيح للمهاجم الوصول إلى ملفات لا ينبغي أن يكون قادرًا على قراءتها.
• التعامل مع الروابط الرمزية: المنطق الذي يستخدمه البرنامج عند العمل مع الروابط الرمزية، والذي يمكن إساءة استغلاله إذا لم يُضبط جيدًا.
• تصعيد الامتيازات: الحصول على صلاحيات أعلى من المقصود، غالبًا عبر سلسلة من ضعف برمجي.