WebPros Internationa: cPanel Панель управления веб-хостингом

Основная статья: IT Service Management (ITSM)

2025: Обнаружение уязвимости, позволяющей злоумышленнику манипулировать файловой системой за пределами разрешённых директорий

Исследователь в области информационной безопасности Сергей Герасимов СП SolidSoft и Yandex B2B Tech совместно с Филиппом Охонко, старшим инженером по прикладным системам в FINRA, выявили критическую уязвимость безопасности в американской cPanel — панели управления веб-хостингом, которая используется для администрирования миллионов веб-сайтов по всему миру. Платформа cPanel предоставляет набор инструментов для хостинг-провайдеров и владельцев сайтов, включая управление доменами, электронной почтой, файлами, базами данных и средствами безопасности. Об этом Яндекс.Облако (Yandex Cloud) сообщило 26 декабря 2025 года.

Обнаруженная уязвимость обусловлена некорректной обработкой путей в API Team Manager, что позволяет злоумышленнику манипулировать файловой системой за пределами разрешённых директорий и, как следствие, повышать свои привилегии до уровня root. Уязвимость представляет серьёзную угрозу безопасности, особенно в средах общего хостинга, где несколько клиентов работают в рамках одной инфраструктуры.

Исследовательская группа воздерживается от публикации технических деталей эксплуатации ввиду популярности платформы до тех пор, пока затронутые организации не получат достаточное время для установки обновлений. Технический разбор обнаруженных недостатков будет опубликован позднее в экспертном блоге компании.

Уязвимость получила оценку в 9,3 балла по шкале CVSS, что соответствует критическому уровню опасности. Недостатку присвоен идентификатор CVE-2025-66429. Уязвимость затрагивает все версии продукта cPanel до 130.0.15 включительно.