L’industrie de l’hébergement web est actuellement marquée par une vague sans précédents de mises à jour visant à corriger des vulnérabilités. L’équipe de Webpros, qui développe cPanel et WHM, a ainsi publié 3 correctifs de sécurité depuis le 28 avril. Ces trois mises à jour visaient à régler 9 failles de sécurité récemment identifiées.
De nombreux autres systèmes clés comme Apache, NGinx et Linux ont aussi émis des mises à jour au cours de cette période. Les hébergeurs web ont donc dû travailler d’arrache-pied pour mettre leurs systèmes à jour, devant ce flot ininterrompu de mises à jour.
Nous avons donc décidé de regarder un peu plus en détails cette série de correctifs émis par cPanel et d’autres logiciels clés. Nous aborderons également les causes potentielles de ces mises à jour et les rumeurs les liant à Claude.
Trois semaines de correctifs importants de sécurité chez cPanel et WHM
Entre le 28 avril et le 13 mai 2026, trois événements de publication de correctifs de sécurité cPanel distincts ont eu lieu:
- 28 avril : CVE-2026-41940, le contournement de la pré-authentification CVSS 9.8 via l’injection CRLF. Il aurait été exploité pendant environ 64 jours avant sa divulgation. Le suivi du serveur fantôme a identifié au moins 44 000 adresses IP confirmées comme ayant été compromises. Censys a identifié 7 135 hôtes cPanel/WHM avec .sorry ransomware artefacts on disk.
- 8 mai : CVE-2026-29201 (CVSS 4.3, lecture de fichier arbitraire), CVE-2026-29202 (CVSS 8.8, exécution de code Perl via l’API create_user) et CVE-2026-29203 (CVSS 8.8, gestion non sécurisée des liens symboliques). Ces problèmes auraient été corrigés, et des détails techniques son inclus à côté du correctif.
- 13 mai : Adresse les cinq CVE couverts ci-dessus. Le correctif CVE-2026-29205 a toutefois été signalé comme incomplet quelques heures plus tard.
On peut donc dénombrer neuf CVE de cPanel, adressés au cours de trois événements de publication en quinze jours. À ce compte, on peut également ajouter à ce compte un CVE WHMCS inclut dans la même fenêtre. On doit noter que ces différents problèmes ont été adressés avec une efficacité très variable.
Le premier incident a produit une campagne de rançongiciel active. Le second a été géré proprement. Le troisième est arrivé accompagné d’un engagement public de maintenir le rythme. Il incluait toutefois aussi une recherche publiée concluant que l’un des cinq correctifs n’est pas encore adéquat.
NGinx, Apache et Linux ont également émis des correctifs
cPanel et WHM ne sont pas les seuls grands noms à avoir mis à jour des failles dans leurs systèmes au cours des dernières semaines. En fait, la plupart des systèmes essentiels ont fait de même au cours de la même période.
Les systèmes d’exploitation de serveur Nginx et Apache ont tous deux émis des correctifs de sécurité. Il en va de même de système d’opération Linux qui est utilisé par la vaste majorité des serveurs web. Ces systèmes n’ont toutefois pas dû émettre autant de correctifs de sécurité que cPanel et WHM.
Cette série de mises à jour a déclenché des rumeurs sur un potentielle implication de Claude, l’IA développée par Anthropic. Après son désaccord avec le Pentagone au mois d’avril, l’entreprise avait révélé que la nouvelle version de son IA serait capable de piraté plus de 80% des sites web existants.
Anthropic a alors annoncé qu’elle offrirait son IA aux entreprises développant l’infrastructure essentielle du web avant de la rendre publique. Elle souhaitait ainsi permettre de corriger les failles découvertes avant qu’elle ne soit exploitée.
Cette annonce est survenue quelques semaines avant cette vague sans précédent de correctifs de sécurité. De nombreux acteurs de l’industrie voient donc bien plus qu’une simple coïncidence dans cette chronologie. Pour de nombreux internautes, Claude a découvert de nombreuses failles dans divers systèmes clés, et il aide maintenant à les combler. Il est toutefois trop tôt pour confirmer si ces rumeurs sont fondées.
Pour conclure sur les nombreux correctifs de sécurité émis par cPanel et WHM
L’industrie de l’hébergement web effectue très régulièrement des mises à jour de divers systèmes clés. Ces dernières semaines ont toutefois été marquées par un rythme de correctifs nettement plus rapide des correctifs que ce que l’on voit en temps normal.
9 problèmes différents ont ainsi été adressés dans 3 mises à jour différentes depuis le 28 avril. C’est plus de CVE que cPanel et WHM a corrigé au cours de toute l’année 2025. Si on ajoute les mises à jour de Nginx, Apache et Linux survenues au cours de la même période, il n’est pas étonnant qu’on voit déjà des rumeurs impliquant Anthropic.
Nous espérons que cet article vous a plus et vous a éclairé sur la récente série de correctifs de sécurité publiés par cPanel et WHM. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.
