ثغرات أمنية CISA اختراق أمني cPanel CVE-2026-41940 أمن الاستضافة

أكدت بحوث أمنية ومزودي استضافة أن ثغرة أمنية خطيرة في cPanel، أحد أشهر أنظمة إدارة الاستضافة على الإنترنت، تُستغل حالياً في هجمات نشطة على نطاق واسع. الثغرة، المعروفة باسم CVE-2026-41940، تؤثر على جميع الإصدارات المدعومة من cPanel وWebHost Manager (WHM) بعد الإصدار 11.40، بالإضافة إلى WP Squared، وهو نظام إدارة استضافة ووردبريس مبني على منصة cPanel.

أجرى فريق Rapid7 مسوحات عبر الإنترنت باستخدام محرك البحث Shodan، واكتشف ما يقرب من 1.5 مليون نسخة من cPanel معرضة للخطر عبر الإنترنت. ومع ذلك، لا يزال العدد الدقيق للنظم الضعيفة غير معروف.

أصدرت cPanel تصحيحاً أمنياً يوم الثلاثاء، لكن الهجوم بدأ بالفعل قبل توفر التصحيح. أكد KnownHost، أحد مزودي الاستضافة المعتمدين على cPanel، أن هجمات ناجحة قد تم رصدها في العالم قبل إصدار التصحيح.

أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) هذه الثغرة إلى قائمة الثغرات المعروفة والمستغلة (KEV) يوم الخميس.

كيف تعمل الثغرة؟

وفقاً لتحليل شركة watchTowr، تنشأ الثغرة من معالجة غير صحيحة للمدخلات أثناء عملية تسجيل الدخول. عند محاولة المستخدم تسجيل الدخول، يكتب cPanel بيانات من الطلب في ملف جلسة خادم قبل التحقق من هوية المستخدم. يمكن للمهاجم استغلال ذلك عن طريق إدراج فواصل سطر مخفية في حقل كلمة المرور — وهي أحرف لا يزيلها cPanel — مما يسمح بحقن بيانات عشوائية مباشرة في الملف.

من خلال خطوة ثانية تتضمن طلباً مشوهاً، يتم ترقية البيانات المحقونة إلى ذاكرة التخزين المؤقت النشطة للجلسة، حيث يقرأها cPanel على أنها شرعية. بمجرد حدوث ذلك، يعتبر النظام الجلسة已经 مصادق عليها ويتجاوز التحقق من كلمة المرور تماماً، مما يمنح الوصول دون التحقق من بيانات الاعتماد الحقيقية.

أدوات الكشف عن الاختراق

أصدرت cPanel نصاً برمجياً للكشف عن الاختراقات مصمماً لمسح ملفات الجلسات بحثاً عن علامات الاختراق، بما في ذلك الجلسات التي تحتوي على علامات زمنية حقن للمصادقة، وجلسات ما قبل المصادقة مع سمات مصادق عليها، وحقول كلمات المرور التي تحتوي على فواصل سطور مدمجة.

أصدرت watchTowr أداة منفصلة تسمى «مولد آثار الكشف» لمساعدة المسؤولين على التحقق مما إذا كانت أنظمة cPanel الخاصة بهم لا تزال عرضة للخطر.

إجراءات الحماية المتخذة

قامت Namecheap، إحدى أكبر شركات تسجيل النطاقات ومزودي الاستضافة، بحظر مؤقتاً الاتصالات إلى منافذ cPanel وWHM (2083 و2087) قبل توفر التصحيح، بهدف حماية العملاء أثناء انتظار الإصدار الرسمي. بدأت الشركة بتطبيق التصحيح بعد صدوره هذا الأسبوع.

تغطي الإصدارات المصححة من cPanel المشكلة عبر سبعة فروع إصدارات، من 11.110.0 إلى 11.136.0، بالإضافة إلى إصدار WP Squared 11.136.1. تشير نشرة cPanel إلى أن التصحيح يضمن إزالة المدخلات الخطيرة تلقائياً أثناء عملية حفظ الجلسة الأساسية، بدلاً من الاعتماد على أجزاء منفصلة من الكود للقيام بذلك.

كما يضيف التصحيح معالجة لحالات عدم وجود مفتاح تشفير لكل جلسة، وهو شرط لم يتناوله الكود الأصلي، واستغله المهاجمون لتجاوز تشفير كلمات المرور تماماً.

خطورة الثغرة

حصلت الثغرة على درجة 9.8 من 10 على مقياس CVSS، مما يعكس خطورتها البالغة.

المصدر: CyberScoop
مجلس النواب الأمريكي يوافق على تمديد مؤقت لقانون مراقبة الاستخبارات الأجنبية
← السابق

مجلس النواب الأمريكي يوافق على تمديد مؤقت لقانون مراقبة الاستخبارات ال...

 ديفون كاي يوقع عقده مع برونكوز دنفر بعد فوزه بحقوقه الحصري
التالي →

ديفون كاي يوقع عقده مع برونكوز دنفر بعد فوزه بحقوقه الحصري