Уязвимость в cPanel позволяет злоумышленнику обойти аутентификацию и выполнить код с правами root

Она получила обозначение CVE‑2026‑41940 и оценку 9,8 по шкале CVSS

5 мая 2026 г.

В cPanel & WHM, распространенной панели управления хостинг‑инфраструктурой, выявлена уязвимость, связанная с CRLF‑инъекцией в заголовке авторизации и обходом механизма шифрования сессий. По данным вендора, она позволяет удаленно выполнить код на сервере с правами root. Уязвимость получила оценку 9,8 балла по шкале CVSS.

28 апреля 2026 года cPanel выпустила экстренный security release (TSR‑2026‑0001), а 29 апреля уязвимости был присвоен идентификатор CVE‑2026‑41940. По данным KnownHost и watchTowr Labs, в реальных атаках уязвимость использовалась как 0‑day с 23 февраля 2026 года — почти два месяца до публичного раскрытия.

По данным BI.ZONE Threat Intelligence, на теневых форумах также зафиксированы предложения о продаже другого эксплоита для cPanel, позволяющего получить логины и пароли в открытом виде. Это указывает на высокий интерес злоумышленников и практическую применимость подобных уязвимостей в атаках.

Продавец утверждает, что уязвимости подвержены 13 522 панели в 94 странах. В опубликованный им список вошли в том числе Россия, Беларусь и Узбекистан.

Как эксплуатируют уязвимость

Уязвимость эксплуатируют удаленно и без аутентификации.
Опубликованы технические детали эксплуатации и индикаторы компрометации (watchTowr Labs, Rapid7, Picus Security, Hadrian).
Есть подтвержденная эксплуатация в реальных атаках. По данным KnownHost, первые случаи компрометации зафиксированы 23 февраля 2026 года, почти за два месяца до выхода патча.
По данным BI.ZONE Threat Intelligence, злоумышленники могут использовать подобные уязвимости для получения легитимных учетных данных и последующего доступа к инфраструктуре хостинга.

Какие версии уязвимы

Уязвимы версии до установки апрельского патча:

cPanel & WHM 110.0.x до 11.110.0.97.
cPanel & WHM 118.0.x до 11.118.0.63.
cPanel & WHM 126.0.x до 11.126.0.54.
cPanel & WHM 132.0.x до 11.132.0.29.
cPanel & WHM 134.0.x до 11.134.0.20.
cPanel & WHM 136.0.x до 11.136.0.5.

Как защититься

Как можно скорее обновите все серверы cPanel & WHM до последних версий с исправлением.

Кроме того, рекомендуем убедиться, что административные интерфейсы WHM (порты 2086/2087) недоступны из интернета напрямую. В противном случае организуйте доступ к ним через VPN или ограничьте список разрешенных IP‑адресов.

Если установить патч сразу невозможно, в качестве временной меры на уровне reverse proxy (nginx, HAProxy) или WAF фильтруйте запросы, содержащие raw \r\n в заголовках Authorization и Cookie.

Советы по проверке следов компрометации на хосте

Проверьте файлы сессий в /var/cpanel/sessions/ и /usr/local/cpanel/sessions/raw/ на наличие подозрительных значений user=root для аккаунтов обычных пользователей.
Ротируйте API‑ключи, пароли cPanel‑аккаунтов и SSH‑ключи root.
Изучите /usr/local/cpanel/logs/login_log на нестандартные WHM‑логины как root за период с 23 февраля 2026 года.
Сравните контрольные суммы файлов в /usr/local/cpanel/ с эталонными — атакующие могут модифицировать сами PHP‑/Perl‑скрипты cPanel для скрытого доступа.

Как защититься

В BI.ZONE EASM уже добавлены правила для обнаружения экземпляров cPanel & WHM. Мы поможем выявить:

доступные из интернета серверы cPanel/WHM;
сервисы WHM на нестандартных портах;
забытые или неучтенные инстансы.

Это позволяет быстро оценить риски и принять меры как можно скорее.

Чтобы оперативно узнавать о новых уязвимостях и проверять их влияние на ваш периметр, подписывайтесь на рассылку BI.ZONE EASM.

Дополнительная информация