Эксперт СП SolidSoft и Yandex B2B Tech обнаружил критическую уязвимость в популярной панели управления веб-хостингом cPanel

Исследователь в области информационной безопасности Сергей Герасимов СП SolidSoft и Yandex B2B Tech совместно с Филиппом Охонко, старшим инженером по прикладным системам в FINRA, выявили критическую уязвимость безопасности в американской cPanel —популярной панели управления веб-хостингом, которая используется для администрирования миллионов веб-сайтов по всему миру. Платформа cPanel предоставляет набор инструментов для хостинг-провайдеров и владельцев сайтов, включая управление доменами, электронной почтой, файлами, базами данных и средствами безопасности.

Обнаруженная уязвимость обусловлена некорректной обработкой путей в API Team Manager, что позволяет злоумышленнику манипулировать файловой системой за пределами разрешённых директорий и, как следствие, повышать свои привилегии до уровня root. Уязвимость представляет серьёзную угрозу безопасности, особенно в средах общего хостинга, где несколько клиентов работают в рамках одной инфраструктуры.

Исследовательская группа воздерживается от публикации технических деталей эксплуатации ввиду популярности платформы до тех пор, пока затронутые организации не получат достаточное время для установки обновлений. Технический разбор обнаруженных недостатков будет опубликован позднее в экспертном блоге компании.

Уязвимость получила оценку в 9,3 балла по шкале CVSS, что соответствует критическому уровню опасности. Недостатку присвоен идентификатор CVE-2025-66429. Уязвимость затрагивает все версии продукта cPanel до 130.0.15 включительно.

Команда благодарит разработчиков cPanel за профессиональный подход и оперативное устранение недостатка. Эти и другие исследования проходят в рамках работы совместного предприятия Yandex B2B Tech и компании SolidSoft.