Une faille critique de contournement d'authentification dans cPanel exploitée activement

Une vulnérabilité critique de contournement d'authentification dans cPanel, l'un des panneaux de contrôle d'hébergement web les plus répandus sur Internet, est actuellement exploitée activement par des cybercriminels. Selon des chercheurs en sécurité et des fournisseurs d'hébergement, la faille, identifiée sous le nom de CVE-2026-41940, affecte toutes les versions supportées de cPanel et de WebHost Manager (WHM) publiées après la version 11.40, ainsi que WP Squared, un panneau de gestion d'hébergement WordPress basé sur cPanel.

Des analyses menées par la société de cybersécurité Rapid7 à l'aide du moteur de recherche Shodan ont révélé environ 1,5 million d'instances de cPanel exposées en ligne. Cependant, le nombre exact de systèmes vulnérables reste indéterminé.

cPanel a publié un correctif mardi, mais des attaques avaient déjà été observées en amont par des fournisseurs comme KnownHost. L'agence américaine CISA a ajouté cette faille à sa liste des vulnérabilités exploitées (KEV) jeudi, confirmant ainsi son utilisation malveillante.

Mécanisme de l'attaque

La faille repose sur une mauvaise gestion des entrées utilisateur lors du processus de connexion. Lorsqu'un utilisateur tente de se connecter, cPanel enregistre les données de la requête dans un fichier de session côté serveur avant de vérifier son identité. Un attaquant peut exploiter cette faiblesse en insérant des sauts de ligne cachés dans le champ du mot de passe — des caractères que cPanel ne filtre pas — permettant ainsi d'injecter des données arbitraires dans ce fichier.

Une seconde étape, impliquant une requête malformée, permet à ces données injectées d'être promues dans le cache actif de la session. cPanel interprète alors cette session comme déjà authentifiée, ignorant ainsi la vérification du mot de passe et accordant un accès non autorisé sans jamais valider les identifiants réels.

Outils de détection et mesures de protection

cPanel a publié un script de détection conçu pour analyser les fichiers de session à la recherche d'indicateurs de compromission, tels que :

• Des sessions contenant des horodatages d'authentification injectés ;
• Des sessions pré-authentification avec des attributs d'authentification ;
• Des champs de mot de passe contenant des sauts de ligne intégrés.

Par ailleurs, la société watchTowr a développé un générateur d'artefacts de détection pour aider les administrateurs à vérifier si leurs instances restent vulnérables.

En prévision du correctif, le registrar Namecheap a temporairement bloqué les connexions aux ports 2083 et 2087 de cPanel et WHM, protégeant ainsi ses clients en attendant la mise à jour officielle. La société a depuis appliqué le correctif publié par cPanel.

Correctifs et recommandations

Les versions corrigées de cPanel couvrent sept branches de versions, allant de la 11.110.0 à la 11.136.0, ainsi que la version 11.136.1 de WP Squared. Le correctif intègre plusieurs améliorations :

• Nettoyage automatique des entrées potentiellement dangereuses dans le processus de sauvegarde des sessions ;
• Gestion des cas où une clé de chiffrement par session est manquante, une faille exploitée par les attaquants pour contourner le chiffrement des mots de passe.

Cette vulnérabilité a été notée 9,8 sur l'échelle CVSS, ce qui la classe comme critique.

Les administrateurs sont vivement encouragés à appliquer le correctif dès que possible et à utiliser les outils de détection mis à disposition pour vérifier l'intégrité de leurs systèmes.