Cu câteva săptămâni înainte ca furnizorul de software cPanel să emită un avertisment public, atacatorii exploatau deja o vulnerabilitate critică în platforma de administrare web hosting utilizată pentru a gestiona zeci de milioane de domenii de internet.
Pe 28 aprilie, cPanel a emis o actualizare de securitate pentru a remedia o vulnerabilitate critică ce afectează produsele cPanel & WHM și WP Squared. CVE-2026-41940, identificatorul atribuit o zi mai târziu, are un scor de severitate de 9,8 și permite unui atacator la distanță, neautentificat, să obțină acces administrativ neautorizat fără a avea nevoie de credențiale.
Potrivit unui furnizor de hosting administrat, KnownHost, primele semne de exploatare activă în mediul real au fost observate încă din 23 februarie – cu mai bine de două luni înainte de divulgarea publică a problemei.
Compania de securitate ofensivă watchTowr explică faptul că problema este cauzată de gestionarea incorectă a sesiunilor în cPanel și WHM, unde datele de intrare controlate de utilizator din header-ul Authorization sunt scrise în fișierele de sesiune de pe server înainte de autentificare și fără o igienizare adecvată.
În esență, vulnerabilitatea permite injectarea unor caractere specifice printr-un header de autorizare, scrierea unor parametri specifici în fișierul de sesiune și, ulterior, declanșarea reîncărcării fișierului pentru autentificare cu credențialele injectate.
Astfel, exploatarea cu succes a vulnerabilității permite atacatorului să controleze sistemul pe care rulează cPanel, oferind acces la fișiere de configurare, baze de date, și site-urile afiliate.
În cazul platformei WHM (WebHost Manager), atacatorul are control absolut asupra serverului și a tuturor site-urilor găzduite pe acesta, având în vedere că WHM oferă acces de nivel „root”.
Agenția pentru Securitate Cibernetică și Securitatea Infrastructurii din SUA (CISA) a adăugat CVE-2026-41940 în catalogul său de vulnerabilități exploatate cunoscut. Fundația Shadowserver a raportat că vede 44.000 de adrese IP unice care scanează, rulează exploit-uri sau efectuează atacuri de forță brută împotriva senzorilor honeypot proprii.
CVE-2026-41940 afectează toate versiunile cPanel și WHM de după v11.40, precum și v136.1.7 a WP Squared. Administratorii sunt sfătuiți să aplice patch-ul de urgență imediat.
cPanel recomandă clienților să restarteze serviciul cpsrvd după instalarea ultimelor actualizări ale produsului.
Ca măsură de protecție în cazul în care nu se poate efectua actualizarea, dezvoltatorul recomandă măcar blocarea traficului extern către porturile 2083, 2087, 2095, and 2096, sau oprirea serviciilor cpsrvd and cpdavd.
cPanel pune la dispoziția clienților un script care poate căuta indicatori speciali de compromitere. În cazul unui rezultat pozitiv, clienții ar trebui să reseteze credențialele, să verifice logurile și să caute mecanismele de persistență.
