WebCare360 建议 VPS、专用服务器、托管主机和自助管理服务器客户审查 2026 年 4 月底至 5 月初披露的几个重要 Linux 托管安全漏洞。这些问题影响到常用的托管组件，包括 cPanel/WHM、Apache HTTP 服务器、OpenSSH、Linux 内核软件包和 CloudLinux 环境。.

这些漏洞可能会影响运行 cPanel、AlmaLinux、CloudLinux、Rocky Linux、RHEL 兼容系统、Ubuntu、Debian、Apache HTTP/2、OpenSSH 证书验证或基于 KernelCare 的实时修补程序的托管服务器。客户和服务器管理员应验证已安装的软件包版本，应用供应商支持的补丁，并在需要时重新启动。.

脆弱性概述

漏洞详情和补丁指导

CVE-2026-41940

cPanel 和 WHM 身份验证绕过

受影响：易受影响的 cPanel/WHM 和 WP Squared 安装

9.8 关键

暴露的 cPanel & WHM / WP Squared 服务存在严重的身份验证绕过漏洞。成功利用该漏洞可能会允许未经授权访问管理功能，而无需有效凭证。任何运行 cPanel/WHM 或 WP Squared 的服务器都应立即检查并修补漏洞。.

确认已被积极利用 CISA KEV 上市 远程曝光 控制面板撞击

所需补丁

cPanel 列出了各支持分支的修复版本，包括最新分支 11.136.0.5 或更新版本，以及 WP Squared 136.1.7 或更新版本。.

/scripts/upcp --force /usr/local/cpanel/cpanel -V

参考资料

• cPanel 咨询：CVE-2026-41940
• NVD：CVE-2026-41940

CVE-2026-31431 - 复制失败

Linux 内核本地权限升级

受影响：许多主流 Linux 发行版，具体取决于内核版本和供应商配置

7.8 高

一个 Linux 内核本地权限升级漏洞可能允许未授权的本地用户在受影响的系统上获得 root 权限。这对于共享主机、VPS 节点、容器主机、具有狱警 shell 访问权限的服务器、转售环境以及可能执行不受信任的本地代码的系统尤为重要。.

本地权限升级 对多用户系统影响大 需要更新内核 可提供实时补丁

所需补丁

安装供应商提供的最新内核更新并重新启动，除非已确认使用 KernelCare 或其他实时补丁。.

RHEL / AlmaLinux / Rocky Linux / CloudLinux：

dnf 清理元数据 dnf update kernel kernel-core kernel-modules 重启

基于 yum 的旧版系统：

yum clean all yum update kernel 重启

Ubuntu / Debian：

apt update apt 全面升级 重新启动

支持 KernelCare 的系统：

kcarectl --update kcarectl --patch-info | grep -i CVE-2026-31431

参考资料

• CERT-EU 咨询
• cPanel 内核咨询
• CloudLinux 内核更新指导

CVE-2026-23918

阿帕奇 HTTP 服务器 HTTP/2 漏洞

受影响：Apache HTTP 服务器 2.4.66，尤其是在启用 HTTP/2 的情况下

高 重要

Apache HTTP Server 2.4.66 受 HTTP/2 处理中的双重免费漏洞影响，该漏洞可能导致拒绝服务或可能的远程代码执行。运行启用了 HTTP/2 的 Apache 2.4.66 的系统应升级到 Apache 2.4.67 或操作系统或控制面板供应商提供的固定软件包。.

网络可达组件 HTTP/2 曝光 已在 Apache 2.4.67 中修正 建议进行 CloudLinux 软件包验证

所需补丁

将 Apache HTTP 服务器 2.4.66 升级到 Apache HTTP 服务器 2.4.67 或供应商固定软件包。.

cPanel / EasyApache 4 系统：

dnf clean all dnf makecache dnf update ea-apache24 httpd -v

基于 yum 的旧版系统：

yum clean all yum makecache yum update ea-apache24 httpd -v

CloudLinux 存储库说明：

yum update ea-apache24 --enablerepo=cl-ea4-testing

检查 Apache 和 HTTP/2 状态：

httpd -M 2>/dev/null | grep -i http2 httpd -v

参考资料

• Apache HTTP 服务器安全公告
• cPanel Apache 咨询
• 云计算 Apache 存储库指南

CVE-2026-35414

OpenSSH 证书验证漏洞

受影响：10.3 之前的 OpenSSH 在特定证书-委托人配置中的问题

视情况而定 供应商

10.3 之前的 OpenSSH 包含一个涉及 授权密钥 校长 选项。在使用基于 SSH 证书身份验证的环境中，风险最高。 证书授权 和 校长= 限制。.

不使用 SSH 证书身份验证的系统的风险要低得多，但 WebCare360 仍建议安装供应商提供的 OpenSSH 更新。.

SSH 证书验证环境 取决于配置 不使用证书-验证的风险较低 建议使用补丁

所需补丁

更新至 OpenSSH 10.3 或操作系统供应商提供的固定/支持软件包。.

RHEL / AlmaLinux / Rocky Linux / CloudLinux：

dnf update openssh openssh-server openssh-clients systemctl restart sshd ssh -V

Ubuntu / Debian：

apt 更新 apt install --only-upgrade openssh-server openssh-client systemctl restart ssh ssh -V

检查风险较高的 SSH 证书-委托人配置：

grep -r "cert-authority.*principals=" /root/.ssh/authorized_keys /home/*/.ssh/authorized_keys 2>/dev/null

参考资料

• NVD：CVE-2026-35414
• OpenSSH 发行说明

建议 VPS 和专用服务器客户采取的行动

1. 立即更新 cPanel/WHM 如果已安装，并在运行更新后确认已安装的 cPanel 版本。.
2. 验证 Apache 未运行易受攻击的 2.4.66 版本, 尤其是在启用 HTTP/2 的情况下。.
3. 安装最新的操作系统内核更新 并重新启动，除非已确认实时修补。.
4. 更新 OpenSSH 使用供应商软件包，尤其是使用 SSH 证书验证时。.
5. 审查行政访问权限, 包括 SSH 密钥、WHM 用户、API 标记、cron 作业、sudoers 规则和意外特权账户。.
6. 确认备份是最新的 并存储在受影响服务器之外。.

快速验证命令

适用于 cPanel / RHEL 系列系统：

适用于 Ubuntu / Debian 系统：

常见问题