1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. cPanel & WHM、脆弱性 CVE-2026-29202を修正-Perlインジェクションで任意コード実行の恐れ

cPanel & WHM、脆弱性 CVE-2026-29202を修正-Perlインジェクションで任意コード実行の恐れ

セキュリティニュース

投稿日時: 更新日時:

cPanel & WHM、脆弱性 CVE-2026-29202を修正-Perlインジェクションで任意コード実行の恐れ

2026年5月8日、cPanelは cPanel & WHM のセキュリティ更新を公開し、CVE-2026-29202 を含む3件の脆弱性を修正したと公表しました。

今回の問題は、create_user API 呼び出しにおける plugin パラメータの検証不備により、認証済みアカウントのシステムユーザー権限で任意のPerlコードを実行できるおそれがあるものです。cPanel公式のセキュリティ情報では、原因を Perl code injection method と説明しており、GitHub Advisory Databaseでは深刻度を High、CVSS v3.1 を 8.8 としています。

概要

CVE-2026-29202 は、cPanel & WHM の create_user API における plugin パラメータの不十分な入力検証に起因する脆弱性です。
認証済みの攻撃者が、対象アカウントのシステムユーザー権限で任意のPerlコードを実行できる可能性があります。
GitHub Advisory Databaseでは、深刻度は High、CVSS v3.1 スコアは 8.8 です。
cPanel公式は、全サポート対象ブランチ 136、134、132、130、126、124、118、110、102、94、86 向けに修正を配布したと案内しています。
cPanel公式アドバイザリでは、修正版として 11.136.0.9 以降、11.134.0.25 以降、11.132.0.31 以降、11.130.0.22 以降、11.126.0.58 以降、11.124.0.37 以降、11.118.0.66 以降、11.110 系、11.102.0.41 以降、11.94.0.30 以降、11.86.0.43 以降を案内しています。WP Squared も 11.136.1.10 以降で修正済みです。

脆弱性の詳細

項目で整理すると、対象は cPanel & WHM と WP Squared、脆弱性は create_user API の plugin パラメータに対する入力検証不備、影響は認証済みユーザーによる任意のPerlコード実行です。GitHub Advisory Databaseでは弱点分類を CWE-20 Improper Input Validation としており、CVSS v3.1 ベクトルは AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H です。これは、ネットワーク越しに、低権限の認証済み状態から、機密性、完全性、可用性へ高い影響が及ぶ評価です。

Perlインジェクションとはどういう脆弱性か

今回の問題は、Perlそのものの脆弱性ではなく、cPanel側が create_user API の plugin パラメータを安全に検証しないまま処理していたことにあります。cPanel公式は、cause として plugin パラメータに関係する Perl code injection method が見つかったと説明しています。GitHub Advisoryでも、plugin パラメータの不十分な入力検証により、すでに認証済みのアカウントのシステムユーザー権限で任意のPerlコードを実行できると記載しています。

つまり、攻撃者がまず何らかの方法で有効な認証済みアカウントを持っている場合、その権限を足掛かりに create_user API を悪用し、想定外のPerlコードをサーバー側で実行できるおそれがあります。未認証の外部攻撃で即座に成立するタイプではない一方、共有ホスティングや管理画面を持つ環境では、アカウント侵害の次の段階として非常に厄介です。権限の強いアカウントほど被害の深刻度は上がりやすく、環境によっては追加の権限奪取や横展開の踏み台になり得ます。

想定される攻撃シナリオ

現時点の一次ソースから読み取れる現実的なシナリオは、攻撃者がまず cPanel または関連機能の認証情報を何らかの形で取得し、その後 create_user API に細工した plugin パラメータを与える流れです。これにより、対象アカウントのシステムユーザー権限で任意のPerlコード実行が可能になり、ファイル改ざん、追加スクリプト設置、Webシェル設置、設定変更などに発展する可能性があります。GitHubのCVSS評価でも Privileges Required は Low ですが、Impact は C/H、I/H、A/H と高く、認証後の侵害拡大リスクが重く見られています。

アップデート推奨

cPanelは、全サポート対象ブランチ向けに修正版を配布済みで、利用者に対し更新を実施するよう案内しています。公式アドバイザリでは、アップデートは /scripts/upcp –force で実施でき、更新後は /usr/local/cpanel/cpanel -V でバージョン確認を行うよう説明しています。今回の問題は create_user API に関わるため、該当バージョンを使っている環境では後回しにせず、できるだけ早く修正版へ上げるべきです。

加えて、パッチ適用だけでなく、cPanel アカウントの認証情報見直し、多要素認証の有効化、不要アカウントの整理、API利用状況の棚卸しも併せて行いたいところです。今回の脆弱性は認証済み状態が前提である以上、認証情報防御の甘さがそのまま悪用可能性に直結するためです。これは cPanel 環境に限らず、管理APIを持つ基盤全般に共通する論点です。

出典

  1. cPanel公式セキュリティ情報 CVE-2026-29202 
  2. cPanel & WHM Release Notes 2026年5月8日 Security Update 
  3. GitHub Advisory Database GHSA-4jrh-q927-mvfj / CVE-2026-29202 

関連記事

Jenkins複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885)Jenkins、複数プラグインの深刻な脆弱性を修正(CVE-2025-47889,CVE-2025-47884,CVE-2025-47885) Google Gemini CLIにCVSS 10.0の最高深刻度の脆弱性Google Gemini CLIにCVSS 10.0の最高深刻度の脆弱性 Netgear ルーターの重大な脆弱性が修正、早急にアップデートをNetgear ルーターの重大な脆弱性が修正、早急にアップデートを 【インタビュー】auじぶん銀行が挑んだ「振込×AI」の挑戦 WordPress プラグイン「GutenKit」「Hunk Companion」を狙う大規模なサイバー攻撃が再燃WordPress プラグイン「GutenKit」「Hunk Companion」を狙う大規模なサイバー攻撃が再燃 ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623)ファイル転送ソフトのCleoで重大な脆弱性が悪用される(CVE-2024-50623) SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887)SAP、11月の月例パッチで緊急2件を含む20件を修正-(CVE-2025-4289,CVE-2025-42887) PyPI パッケージlightning:PyTorch Lightningが改ざん、マルウェアを埋め込まれるPyPI パッケージlightning:PyTorch Lightningが改ざん、マルウェアを埋め込まれる TanStackのnpmパッケージ42件にサイバー攻撃でマルウェアが混入、GitHub Actions 経由で認証情報窃取の恐れ(CVE-2026-45321)TanStackのnpmパッケージ42件にサイバー攻撃でマルウェアが混入、GitHub Actions 経由で認証情報窃取の恐れ(CVE-2026-45321)