Выпущены экстренные исправления для критической уязвимости в cPanel и WHM, которая позволяет злоумышленникам обойти аутентификацию и получить root-доступ к серверам, управляемым с их помощью.
Учитывая, что, по некоторым оценкам, панели управления cPanel и WebHost Manager (WHM) помогают управлять ресурсами для 70 миллионов доменов, а критическая степень серьезности CVE-2026-41940 (9.8) заставляет экспертов в области безопасности считать эту уязвимость катастрофой.
Она затрагивает все поддерживаемые версии программного обеспечения до выхода патча.
Для непосвященных: cPanel и WHM — это обе панели управления на базе Linux. Первая используется для управления веб-сайтами, базами данных, передачей файлов, настройками электронной почты и доменами, в то время как WHM используется для серверов.
Обе они являются основой интернета. Взлом этих систем предоставит злоумышленнику неограниченный доступ ко всем секретам, связанным с этими функциями.
Или, как выразилась компания watchTowr: «Представьте, что это ключи от королевства, а затем ключи от каждой отдельной квартиры внутри королевства. Если королевство — это интернет, а квартиры — это веб-сайты. Ко всему».
Возможно, самое худшее заключается в том, что первые сигналы от защитников, таких как генеральный директор KnownHost Дэниел Пирсон, указывают на то, что уязвимость могла использоваться как уязвимость нулевого дня как минимум 30 дней.
Или, возможно, еще хуже сама природа уязвимости — то, что злоумышленники могут получить root-доступ, обходя все виды аутентификации, — достижение, достойное почти максимального балла CVSS.
Уязвимость также затрагивает WP Squared, платформу хостинга WordPress, принадлежащую cPanel.
Успешная эксплуатация CVE-2026-41940, которую можно охарактеризовать как ошибку возврата каретки и перевода строки (CRLF) — то есть атакованное приложение некорректно обрабатывает пользовательский ввод, — включает всего несколько шагов. Злоумышленник создает сессионный cookie, завершив неудачную попытку входа в систему, а затем отправляет запрос со специально сформированным заголовком, содержащим инструкцию изменить привилегии на root. Затем он может использовать этот cookie для входа в cPanel и WHM от имени root.
В обычных сценариях cPanel шифрует значения, предоставленные злоумышленником, но в необновленных версиях злоумышленники могут удалить шестнадцатеричное значение и остановить выполнение этого процесса, позволяя командам make-me-root в открытом виде проходить как любой другой доверенный код.
Выше представлено общее, краткое изложение процедуры. Те, кто ищет подробный рассказ о том, как эксперты определили путь атаки, могут ознакомиться с рабочим процессом, опубликованным watchTowr в их фирменном шутливом стиле.
Основной совет заключается в том, что если вы используете cPanel и WHM, немедленно приступайте к установке исправлений. Это серьезная проблема, и, учитывая вероятность эксплуатации уязвимости нулевого дня, запуск скрипта обнаружения cPanel может помочь защитникам понять, нужно ли им только исправление, или пора отключать кабели.
watchTowr также опубликовала собственный генератор артефактов обнаружения, чтобы помочь защитникам выявить признаки компрометации. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
