Toinen cPanel-hätäpäivitys kymmenessä päivässä – KTK kehottaa asentamaan välittömästi
Tuoreet kolme haavoittuvuutta osuvat cPanel- ja WHM-palvelimiin, joita käyttävät käytännössä kaikki suomalaiset webhotelli-toimijat. Korjaus tuli ulos perjantai-iltana, samalla kun toinen cPanel-bugi on jo aktiivisessa massahyödynnössä.
Tiivistelma
Kyberturvallisuuskeskus julkaisi 8.5.2026 vakavaksi luokitellun varoituksen kolmesta uudesta cPanel/WHM-haavoittuvuudesta. Kotisivun omistajan kannattaa kysyä webhotelliltaan, onko päivitys asennettu, ja itse hallinnoivien ylläpitäjien ajaa korjaus tänä viikonloppuna.
Toinen cPanel-hätäpäivitys kymmenen päivän sisällä kertoo, missä jamassa maailman yleisin webhotelli-hallintapaneeli on juuri nyt. Kyberturvallisuuskeskus julkaisi varoituksensa perjantai-iltana 8.5., ja luokittelu on suoraan vakava.
Kolme uutta haavoittuvuutta on kirjattu tunnisteilla CVE-2026-29201, CVE-2026-29202 ja CVE-2026-29203. Ne koskevat kaikkia cPanel & WHM -versioita aina 11.136.0.0 saakka.
Korjatut buildit kulkevat haaroittain numeroiden 11.94.0.30 ja 11.136.1.10 välillä, eli RELEASE-, CURRENT- ja EDGE-tasoille on kullekin oma korjaus. Aktiivisesta hyödyntämisestä näiden kolmen osalta ei ole tätä artikkelia kirjoitettaessa raportoitu.
KTK:n ohje on harvinaisen suora.
– Asenna päivitys julkaisun jälkeen välittömästi, Kyberturvallisuuskeskus toteaa varoituksessaan.
Mitä haavoittuvuudet käytännössä mahdollistavat
CVE-2026-29201 on todennetun käyttäjän mielivaltainen tiedostoluku feature::LOADFEATUREFILE-toiminnossa, jossa polkujen suhteellisuutta ei rajata kunnolla. Hyökkääjä voi lukea palvelimen tiedostoja, joihin cPanel-prosessilla on pääsy.
CVE-2026-29202 on koodi-injektio, joka mahdollistaa oikeuksien laajentamisen palvelimella. CVE-2026-29203 puolestaan koskee symbolisten linkkien käsittelyä ja antaa hyökkääjälle mahdollisuuden muuttaa tiedostojen oikeuksia mielivaltaisesti.
Kahdessa jälkimmäisessä tapauksessa lopputulos voi olla vakavampi kuin pelkkä tiedostojen lukeminen. Oikeuksien laajentaminen ja symlinkkien väärinkäyttö ovat juuri niitä rakennuspalikoita, joista täysi palvelimen haltuunotto rakentuu.
NVD:ssä CVE-2026-29201 näkyy edelleen ilman CVSS-pisteitä, eikä kahdellekaan muulle ole vielä julkaistu virallista pisteytystä. Vakavuusarvio nojaa siis cPanelin omaan luokitukseen ja KTK:n linjaukseen, ei toistaiseksi riippumattomaan analyysiin.
cPanel ja WHM (Web Host Manager)
cPanel on web-hosting-hallintapaneeli, jota käytetään kymmenillä miljoonilla sivustoilla maailmanlaajuisesti. WHM on sen ylläpitäjäpuoli, ja molemmat ajetaan Linux-palvelimella root-oikeuksin. Onnistunut hyökkäys hallintapaneeliin vie siis koko palvelimen ja kaikki sillä asuvat sivustot kerralla.
Miksi tämä päivitys on tärkeä juuri nyt
Saman tuoteperheen ympärillä on käynnissä toinen, vanhempi kriisi. CVE-2026-41940 on autentikoinnin ohittava haavoittuvuus CVSS-pisteillä 9,8, jota on hyödynnetty aktiivisesti noin helmikuusta 2026 lähtien.
Help Net Securityn raportin mukaan useat eri uhkatoimijat ovat ottaneet sen käyttöön, ja kohteina on ollut hallintopalveluntarjoajia (MSP) sekä julkishallinnon palvelimia. WatchTowr Labsin julkaiseman analyysin perusteella vaarantuneita palvelimia on yli 44 000, ja CISA on listannut bugin Known Exploited Vulnerabilities -listalleen.
Kyseessä on eri haavoittuvuus kuin perjantain kolmikko. Konteksti, jossa nyt julkaistut korjaukset pitää lukea, on kuitenkin ilmiselvä.
cPanel-ylläpitäjät ovat olleet piirityksessä jo pari kuukautta, ja tuore Technical Security Release on järjestyksessä toinen vain kymmenen päivän sisällä.
Onko hyökkääjillä siis intressiä kääntää huomionsa myös uusiin CVE:ihin? Hiljaiset viikot näyttävät varsin epätodennäköisiltä, kun samalla työpöydällä on jo toimiva massahyödynnyskoodi vanhempaan bugiin.
Mitä tehdä
Tavalliselle kotisivun omistajalle suora kysymys palveluntarjoajalle on oikeastaan nopein tie. cPanel on käytännössä standardi suomalaisissa webhotelleissa, ja muun muassa Zoner, Louhi, Hostingpalvelu, Shellit ja Webhotelli.fi ajavat asiakassivustoja sen päällä.
Kysy webhotellisi tukikanavasta suoraan, onko 8.5. julkaistu cPanel-päivitys versioon 11.136.1.10 tai vastaavaan haaran korjaukseen jo asennettu. Jos vastaus viivästyy, harkitse WHM- ja cPanel-kirjautumisten rajaamista IP-osoitteen perusteella, kunnes asia varmistuu.
Itse palvelinta hallinnoivan ylläpitäjän polku on lyhyempi:
- Kirjaudu WHM:ään ja avaa Server Status → Server Information.
- Tarkista nykyinen cPanel-versio.
- Pakota päivitys komennolla
/scripts/upcp --force. - Käy läpi
/etc/cpupdate.confja varmista, että automaattipäivitykset ovat päällä, jotta seuraava TSR ei jää roikkumaan kuviin viikoiksi.
Jaetuilla webhotelli-palvelimilla on hyvä muistaa, että yhden asiakkaan hyödyntämä haavoittuvuus voi naapurin sivustolle näyttäytyä laajempana ongelmana. Lokit kannattaa käydä läpi tavallista huolellisemmin seuraavien päivien aikana.
Jos epäilet, että palvelimellesi on jo tunkeuduttu, ilmoita asiasta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
cPanel-yhtiön omat ilmoitukset eivät yleensä huudella mahdollisia hyödynnettävyysvaikutuksia, joten KTK:n vakava-luokitus on tässä se selkein kompassi.
Suomalaisessa webhotellikentässä viikonloppupäivystäjien työkuorma näyttää siis kovalta, ja päivityksen viivyttäminen maanantaihin asti voi osoittautua kalliiksi ratkaisuksi. Jää nähtäväksi, paljonko aikaa kuluu, ennen kuin perjantain kolmikko nähdään myös hyödynnyskoodissa, ja kuinka nopeasti suurimmat suomalaistoimijat saavat asiakkaidensa palvelimet ajan tasalle.