WHMCS 官方发布安全公告,确认存在高危漏洞 CVE-2026-29204。该漏洞涉及 Client Area 授权校验不足,已登录的攻击者在特定条件下可能越权访问或操作其他用户的服务资源。官方已于 2026 年 5 月 12 日发布修复版本,建议所有自托管 WHMCS 用户立即升级。
WHMCS 官方公告:https://help.whmcs.com/m/125386/l/2073908-cve-2026-29204
WHMCS 是全球使用最广泛的虚拟主机自动化管理平台,被大量 IDC、VPS 商家和域名注册商采用。本次漏洞影响范围较广,涵盖 WHMCS 7.4 及之后的所有版本。官方强调,修复补丁仅面向受支持的版本提供,运行 WHMCS 7.x 的用户必须升级至 8.13.3 或 9.0.4 才能获得安全更新。使用 WHMCS Cloud 托管服务的用户无需操作,官方已完成自动更新。
漏洞利用需要有效的已认证会话,属于身份认证后的权限绕过问题。社区讨论中提到可能通过修改 addonid 等参数触发越权,但官方未披露具体技术细节。建议升级后重点检查 Activity Log,关注异常的 SSO 事件、服务访问记录以及账号与服务归属不匹配的情况。
漏洞影响范围与修复版本
| 当前版本 | 受影响状态 | 修复版本 | 操作 |
|---|---|---|---|
| WHMCS 9.x | 9.0.4 以下全部受影响 | 9.0.4 | 立即升级 |
| WHMCS 8.x | 8.13.3 以下全部受影响 | 8.13.3 | 立即升级 |
| WHMCS 7.4+ | 全部受影响 | 必须升级至 8.13.3 或 9.0.4 | 立即升级 |
| WHMCS 7.4 以下 | 不受影响 | 无需操作 | — |
| WHMCS Cloud | 不受影响 | 官方已自动更新 | 无需操作 |
升级建议
- 升级前备份完整 WHMCS 目录和数据库
- 升级后检查 Activity Log,搜索异常 SSO 和服务访问记录
- 关注账号与服务归属不匹配的日志条目
- 如无法立即升级,建议限制 Client Area 访问并加强监控