Farlig cPanel-sårbarhed udnyttes aktivt af hackere – CISA advarer

En alvorlig autentifikationsomgåelsesfejl i cPanel, et af verdens mest udbredte webhostingkontrolpaneler, bliver i øjeblikket aktivt udnyttet af cyberkriminelle. Det bekræfter både sikkerhedsforskere og hostingudbydere.

Sårbarheden, registreret som CVE-2026-41940, påvirker alle understøttede versioner af cPanel og WebHost Manager (WHM) udgivet efter version 11.40. Også WP Squared, et WordPress-hostingpanel baseret på cPanel, er berørt.

Sikkerhedsfirmaet Rapid7 har via internetscanninger identificeret omkring 1,5 millioner eksponerede cPanel-instanser. Det præcise antal sårbare systemer er dog endnu ukendt.

Hvordan udnyttes sårbarheden?

Ifølge sikkerhedsfirmaet watchTowr stammer fejlen fra forkert håndtering af brugerinput under loginprocessen. Når en bruger forsøger at logge ind, skriver cPanel data fra anmodningen direkte til en serversession, før identiteten verificeres.

Angribere kan udnytte dette ved at indsætte skjulte linjeskift i adgangskodefeltet. Disse tegn fjernes ikke korrekt, hvilket gør det muligt at injicere arbitrær kode i sessionen. Gennem en yderligere manipuleret anmodning promoveres den ondsindede data til den aktive cache, hvor cPanel opfatter den som legitim.

Når dette sker, betragtes sessionen som autentificeret, og systemet springer passwordverifikation over – uden nogensinde at kontrollere de faktiske loginoplysninger.

CISA tilføjer fejl til kritisk liste

Den amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har tilføjet CVE-2026-41940 til sin liste over kendte udnyttede sårbarheder (KEV). Dette betyder, at amerikanske føderale myndigheder inden for 14 dage skal sikre, at systemerne er opdaterede.

cPanel udsender kritisk patch

cPanel frigav en sikkerhedsopdatering tirsdag, men angrebene var allerede i gang. Hostingudbyderen KnownHost rapporterede tidligere på ugen om succesfulde exploits, før nogen rettelse var tilgængelig.

cPanel’s patch dækker syv versionsgrene fra 11.110.0 til 11.136.0 samt WP Squared version 11.136.1. Opdateringen sikrer, at farligt input automatisk fjernes i sessionprocessen, og tilføjer desuden håndtering af manglende krypteringsnøgler – en svaghed, angribere tidligere havde udnyttet til fuldstændigt at omgå passwordbeskyttelse.

Navnecheap midlertidigt blokerer porte

Som en midlertidig beskyttelse blokerede domæneudbyderen Namecheap forbindelser til cPanel og WHM på porte 2083 og 2087, indtil opdateringen var klar. Selskabet har siden implementeret rettelsen.

Hvad skal du gøre?

• Opdater cPanel og WHM omgående til de nyeste versioner.
• Kør cPanel’s detektionsscript for at identificere kompromitterede sessioner.
• Brug watchTowr’s Detection Artifact Generator til at teste, om systemet stadig er sårbart.
• Overvåg loginaktivitet for mistænkelige anmodninger med skjulte tegn.

CVE-2026-41940 har fået en CVSS-score på 9,8 – det højeste niveau for kritiske sårbarheder.