Критическая уязвимость, позволяющая обойти аутентификацию (CVE-2026-41940), обнаружена в cPanel — популярной веб-панели управления и администрирования учетных записей веб-хостинга.
О CVE-2026-41940
cPanel обычно выдается хостингом и является одной из наиболее широко используемых панелей управления сервером. WHM (Web Host Manager) используется хостинг-провайдерами для управления несколькими учетными записями cPanel на одном сервере.
CVE-2026-41940 связана с отсутствием аутентификации для критически важной функции и позволяет неавторизованным удаленным злоумышленникам получить несанкционированный доступ к панели управления.
До того, как происходит аутентификация, cpsrvd (демон службы cPanel) записывает новый файл сессии на диск. Уязвимость позволяет злоумышленнику манипулировать файлом cookie whostmgrsession, опуская ожидаемый сегмент значения файла cookie, что позволяет обойти процесс шифрования, обычно применяемый к значению, предоставленному злоумышленником, пояснил исследователь Rapid7 Райан Эммонс.
Злоумышленники могут внедрить необработанные символы \r\n через вредоносный заголовок базовой авторизации, и система впоследствии записывает файл сеанса без очистки данных. В результате злоумышленник может вставить в файл сеанса произвольные свойства, такие как user=root. После инициирования перезагрузки сеанса из файла злоумышленник устанавливает доступ на уровне администратора для своего токена.
Использование в реальных условиях и раскрытие уязвимости
WebPros International L.L.C., компания, разрабатывающая cPanel, 28 апреля опубликовала рекомендацию по безопасности для CVE-2026-41940 и через несколько часов выпустила обновления безопасности.
По словам Дэниела Пирсона, генерального директора провайдера управляемого хостинга KnownHost, они были уведомлены об этом примерно в то же время. Они немедленно начали блокировать порты входа в WHM/cPanel по всей сети KnownHost, а затем приступили к внедрению обновлений безопасности.
Другие хостинг-провайдеры поступили аналогичным образом.
Хронология раскрытия информации о CVE-2026-41940 немного неясна. Согласно источнику webhosting.today, об уязвимости было сообщено cPanel примерно за две недели до публичного уведомления 28 апреля, и первоначальный ответ cPanel заключался в том, что все в порядке.
Неясно, знал ли автор сообщения о том, что уязвимость уже активно эксплуатируется. Также неясно, почему WebPros не сообщила хостинг-провайдерам о наличии такой критической уязвимости раньше и не предоставила меры по снижению риска, пока они работали над исправлениями.
Что делать?
CVE-2026-41940 затрагивает все версии cPanel и WHM после v11.40, а также версию v136.1.7 WP Squared — управляемой платформы хостинга WordPress, построенной на базе cPanel.
«Успешная эксплуатация CVE-2026-41940 дает злоумышленнику контроль над хост-системой cPanel, ее конфигурациями и базами данных, а также над веб-сайтами, которые она управляет», — отметил Эммонс из Rapid7 и добавил, что Shodan показывает примерно 1,5 миллиона экземпляров cPanel, открытых для доступа из Интернета (хотя неизвестно, сколько из них уязвимы).
В рекомендациях по безопасности советуется обновить cPanel до исправленной версии, проверить версию сборки cPanel и перезапустить службу cPanel (cpsrvd).
Меры по снижению риска включают блокировку входящего трафика на портах 2083, 2087, 2095 и 2096 на брандмауэре и остановку служб cpsrvd и cpdavd.
Компания также предоставила скрипт для клиентов, позволяющий искать известные признаки взлома.
По крайней мере, в нашей сети и в случаях, которые я проанализировал, любой эксплойт сводился к тому, чтобы проверить, работает ли это, и далее никаких других изменений или попыток не было, — сообщил Пирсон клиентам.
«После тщательного анализа мы свяжемся со всеми, кто пострадал напрямую, но, повторюсь, я не увидел никаких признаков активного взлома, внедрения вредоносного кода или чего-либо, кроме подтверждения доступа».
Комментарии (0)