Специалист по кибербезопасности Сергей Герасимов из СП SolidSoft и Yandex B2B Tech вместе с Филиппом Охонко, ведущим инженером прикладных систем в FINRA, обнаружили серьёзную брешь в защите американской платформы cPanel — широко распространённой панели управления веб-хостингом, применяемой для администрирования множества сайтов по всему миру. Система cPanel предлагает комплекс инструментов для хостинг-компаний и администраторов ресурсов, в том числе для работы с доменами, почтой, файлами, базами данных и настройками защиты. Об этом информировали CNews представители Yandex Cloud.
Выявленная проблема связана с ошибкой в обработке путей в API Team Manager, что даёт возможность злоумышленнику воздействовать на файловую систему вне разрешённых каталогов и, как результат, получать права суперпользователя (root). Эта уязвимость создаёт значительные риски, в особенности в условиях общего хостинга, где на одной инфраструктуре работают разные клиенты.
Исследователи пока не раскрывают технические подробности эксплуатации уязвимости, учитывая широкое распространение платформы, чтобы дать затронутым организациям время на установку исправлений. Детальный технический анализ будет представлен позже в профильном блоге компании.
Уязвимости присвоен рейтинг 9,3 балла по шкале CVSS, что указывает на критический уровень угрозы. Брешь получила идентификатор CVE-2025-66429. Она затрагивает все версии cPanel вплоть до 130.0.15 включительно.
