Új, a támadók által aktívan kihasznált nulladik napi sebezhetőséget (CVE-2026-41940) fedeztek fel a cPanel és Web Host Manager (WHM) rendszerekben. A sérülékenység kihasználása lehetővé teszi a támadók számára, hogy a hitelesítés megkerülésével, távolról adminisztrátori hozzáférést szerezzenek a célrendszerek felett, ami az érintett infrastruktúra teljes kompromittálódásához is vezethet.
A cPanel egy széles körben használt webhosting vezérlőpanel, a WHM (Web Hosting Manager) pedig a szolgáltatók számára teszi lehetővé, hogy egy szerveren akár több cPanel fiókot is kezeljenek.
Ryan Emmons, a Rapid7 kutatója szerint a hiba az egyik kritikus funkció hiányzó hitelesítéséből ered. A hitelesítés előtt a cpsrvd (a cPanel háttérszolgáltatási komponense) egy új munkamenet-fájlt ír a lemezre. A sérülékenység lehetővé teszi, hogy a támadó a whostmgrsession cookie egy részének kihagyásával megkerülje a titkosítási folyamatot. A támadók rosszindulatú Basic Authorization fejlécen keresztül \r\n vezérlőkaraktereket tudnak bejuttatni, és a rendszer ezt követően anélkül írja ki a session fájlt, hogy az adatokat megtisztítaná. Ennek következtében a támadó tetszőleges tulajdonságokat (pl.: user=root) fecskendezhet be a session fájlba. Amikor a rendszer újratölti ezt a munkamenetet, a támadó adminisztrátori szintű hozzáférést szerez a tokenhez.
A sérülékenység az összes 11.40-es verzió utáni cPanel és WHM verzióit, illetve a WP Squared 136.1.7-es verzióját érinti. A Shodan keresőmotor szerint körülbelül 1,5 millió cPanel érhető el közvetlenül az interneten, bár nem tudni, hogy ezek közül mennyi érintett a sérülékenységben.
A cPanel fejlesztői, a WebPros International L.L.C. április 28-án biztonsági tájékoztatót tettek közzé a sebezhetőségről, majd néhány órával később kiadták a biztonsági frissítéseket is. Ezzel párhuzamosan a tárhelyszolgáltatók elkezdték blokkolni a WHM/cPanel bejelentkezési portokat, majd telepítették a frissítéseket.
Az érintett rendszerek esetén javasolt a frissítések mielőbbi telepítése, illetve a telepített verziók ellenőrzése és a cPanel szolgáltatás (cpsrvd) újraindítása. További kockázatcsökkentő intézkedésként ajánlott a 2083, 2087, 2095 és 2096-os hálózati portok bejövő forgalmának tűzfalon történő blokkolása, valamint a cpsrvd és cpdavd szolgáltatások leállítása. Ezen felül a gyártó egy ellenőrző szkriptet is biztosított ügyfelei számára, amely segíthet az ismert IoC-k keresésében.