nvd,bdu,anchore_overrides
Cpanel
Уязвимости
440
Эксплуатируемые
1
Критический
22
Высокий
114
Топ уязвимостей
CVE-2004-1770Страница входа в cPanel 9.1.0 и, возможно, другие версии, позволяет удаленным злоумышленникам выполнять произвольный код через метасимволы оболочки в параметре user.
CVE-2004-1769Функция "Разрешить пользователям cPanel сбрасывать свой пароль по электронной почте" в cPanel 9.1.0 build 34 и более ранних версиях, включая 8.x, позволяет удаленным злоумышленникам выполнять произвольный код через параметр user в resetpass.
CVE-2003-1425guestbook.cgi в cPanel 5.0 позволяет удаленным злоумышленникам выполнять произвольные команды через параметр template.
CVE-2020-26108cPanel до версии 88.0.13 неправильно обрабатывает диспетчеризацию расширений файлов, что приводит к выполнению кода (SEC-488).
CVE-2020-26105В cPanel до версии 88.0.3 на шаблонной виртуальной машине используются небезопасные тестовые учетные данные chkservd (SEC-554).
CVE-2020-26101В cPanel до версии 88.0.3 для BIND на шаблонной виртуальной машине используются небезопасные учетные данные RNDC (SEC-549).
CVE-2020-26100chsh в cPanel до версии 88.0.3 допускает выход из Jailshell (SEC-497).
CVE-2020-26098cPanel до версии 88.0.3 неправильно обрабатывает путь фильтра Exim, что приводит к удаленному выполнению кода (SEC-485).
CVE-2020-10121cPanel до 84.0.20 позволяет демонстрационной учетной записи добиться выполнения кода через API PassengerApps (SEC-546).
CVE-2020-10119cPanel до 84.0.20 позволяет демонстрационной учетной записи добиться удаленного выполнения кода через оболочку cpsrvd rsync (SEC-544).
CVE-2019-20498cPanel версии до 82.0.18 допускает обход аутентификации WebDAV из-за некорректной логики совместного использования подключений (SEC-534).
CVE-2018-20887cPanel до версии 74.0.0 допускает SQL-инъекцию во время резервного копирования базы данных (SEC-420).
CVE-2018-20863cPanel до версии 76.0.8 позволяет удаленным злоумышленникам выполнять произвольный код через вложения в список рассылки (SEC-452).
CVE-2016-10858cPanel версии до 11.54.0.0 допускает не прошедшее проверку подлинности произвольное выполнение кода через отравление DNS NS записей (SEC-64).
CVE-2016-10855cPanel версии до 11.54.0.4 допускает не прошедшее проверку подлинности произвольное выполнение кода через cpsrvd (SEC-91).
CVE-2016-10824cPanel версии до 55.9999.141 допускает не прошедшее проверку подлинности произвольное выполнение кода через отравление DNS NS-записей (SEC-90).
CVE-2016-10817cPanel версии до 57.9999.54 допускает SQL-инъекцию через файл журнала ModSecurity TailWatch (SEC-123).
BDU:2026-06279Уязвимость веб-хостинга cPanel, панели администрирования WebHost Manager и панели управления хостингом WordPress Squared связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности и выполнить произвольный код
CVE-2026-41940Выполнение произвольного кода в cPanel
CVE-2004-1875Множественные уязвимости межсайтового скриптинга (XSS) в cPanel 9.1.0-R85 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через (1) параметр email в testfile.html, (2) параметр file в erredit.html, (3) параметр dns в dnslook.html, (4) параметр account в ignorelist.html, (5) параметр account в showlog.html, (6) параметр db в repairdb.html, (7) параметр login в doaddftp.html (8) параметр account в editmsg.htm или (9) параметр ip в del.html. ПРИМЕЧАНИЕ: позже сообщалось, что вектор dnslook.html существует в cPanel 10.
CVE-2020-10118cPanel до 84.0.20 позволяет демонстрационной учетной записи изменять файлы через вызовы Branding API (SEC-543).
CVE-2020-10117cPanel до 84.0.20 неправильно обрабатывает принудительное выполнение демонстрационных проверок в пространстве имен Market UAPI (SEC-542).
CVE-2025-66429Проблема была обнаружена в cPanel 110-132. Уязвимость прохождения каталогов в API Team Manager позволяет перезаписать произвольный файл. Это может привести к эскалации привилегий для пользователя корня.
CVE-2019-20492cPanel до версии 82.0.18 допускает обход аутентификации из-за неправильного анализа формата файла паролей (SEC-516).
CVE-2019-20490cPanel до версии 82.0.18 допускает обход аутентификации из-за несогласованной обработки имен пользователей веб-почты (SEC-499).