Критическая CVE-2026-41940 в cPanel: обход аутентификации
CVE-2026-41940 — критическая уязвимость обхода аутентификации, затрагивающая версии cPanel & WHM (WebHost Manager), выпущенные после 11.40, а также связанные продукты, включая DNSOnly и WP Squared. Уязвимость позволяет неаутентифицированному удаленному злоумышленнику получить несанкционированный доступ к панелям управления хостингом, что создает серьезные риски для провайдеров хостинга и владельцев веб-сайтов.
Чем опасна уязвимость
По данным отчета, эксплуатация CVE-2026-41940 может привести к полному компрометированию сервера и связанных с ним ресурсов. В случае успешной атаки злоумышленник получает возможность:
- получить несанкционированный administrative access;
- манипулировать размещенным контентом;
- получить доступ к базам данных и учетным записям email;
- создавать новых пользователей;
- развертывать web shells;
- выполнять другие вредоносные действия.
Особую опасность представляет широкое распространение cPanel и WHM в управлении большим количеством доменов: компрометация одного сервера может затронуть сразу множество веб-ресурсов и сервисов.
Как работает атака
Техническая суть проблемы связана с обработкой сессий. При обращении к конечной точке /login/?login_only=1 даже неудачная попытка входа приводит к тому, что сервер создает предварительно аутентифицированную сессию и возвращает cookie whostmgrsession.
Злоумышленники могут использовать это поведение, внедряя данные, закодированные в Base64, в заголовок Authorization. Эти данные соответствуют атрибутам сессии, которые затем могут быть записаны в файл сессии на стороне сервера. В результате злоумышленник получает возможность обойти аутентификацию через последующее чтение измененного файла сессии.
Оценка риска
Уязвимость получила критический уровень серьезности:
- CVSS v3.1: 9.8
- CVSS v4.0: 9.3
- CWE-306: отсутствие аутентификации
Такие оценки подтверждают, что речь идет не о локальной технической проблеме, а о высокорисковом дефекте, способном привести к быстрому и масштабному захвату административного контроля над хостинг-инфраструктурой.
Реакция и меры защиты
Патчи уже выпущены cPanel, и организациям рекомендуется установить их в срочном порядке. До внедрения обновлений эксперты советуют ограничить входящий трафик на следующие порты:
- 2083
- 2087
- 2095
- 2096
Кроме того, были обнаружены попытки эксплуатации уязвимости. Это побудило ряд организаций, включая Cato, к проактивной защите: были внедрены сигнатуры системы предотвращения вторжений (IPS) для блокирования атак, а также меры виртуального патчинга и мониторинга.
В отчете подчеркивается, что непрерывное наблюдение со стороны аналитиков кибербезопасности имеет критическое значение, особенно с учетом возможного злоупотребления уже после успешной эксплуатации уязвимости.
Почему ситуация требует срочного внимания
Дополнительную тревогу вызывает масштаб потенциальной поверхности атаки. По данным Shodan, в интернете доступно примерно 1,5 million экземпляров cPanel. Это делает CVE-2026-41940 особенно опасной для хостинг-провайдеров, дата-центров и владельцев веб-платформ, которые используют данные решения.
В условиях активных попыток эксплуатации приоритет очевиден: немедленное обновление, ограничение внешнего доступа и постоянный контроль за признаками компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
