Kerentanan Bypass Autentikasi cPanel Dieksploitasi di Dunia Nyata, CISA Beri Peringatan

Sebuah kerentanan bypass autentikasi parah pada cPanel, salah satu platform kontrol hosting web paling banyak digunakan di internet, kini sedang dieksploitasi secara aktif di dunia maya. Demikian peringatan dari para peneliti keamanan dan penyedia hosting.

Kerentanan ini, yang dilacak sebagai CVE-2026-41940, memengaruhi semua versi cPanel dan WebHost Manager (WHM) yang dirilis setelah versi 11.40, serta WP Squared, panel manajemen hosting WordPress yang dibangun di atas platform cPanel.

Pemindaian internet yang dilakukan oleh firma keamanan Rapid7 menggunakan mesin pencari Shodan mengidentifikasi sekitar 1,5 juta instansi cPanel yang terekspos secara daring. Namun, jumlah pasti sistem yang rentan masih belum diketahui.

cPanel merilis patch perbaikan pada Selasa. Sayangnya, eksploitasi telah terjadi sebelum perbaikan tersedia. KnownHost, salah satu penyedia hosting yang mengandalkan cPanel, melaporkan telah mendeteksi eksploitasi berhasil sebelum adanya perbaikan resmi.

CISA Masukkan CVE ke Daftar Kerentanan yang Dieksploitasi

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) menambahkan CVE-2026-41940 ke dalam Known Exploited Vulnerabilities (KEV) pada Kamis. Sementara itu, firma keamanan watchTowr memberikan rincian teknis melalui blog yang dipublikasikan pada Rabu.

Bagaimana Kerentanan Ini Bekerja

Menurut watchTowr, kerentanan ini berasal dari penanganan input pengguna yang tidak tepat selama proses login. Saat pengguna mencoba masuk, cPanel menulis data dari permintaan ke dalam file sesi server sebelum memverifikasi identitas pengguna.

Seorang penyerang dapat mengeksploitasi celah ini dengan menyisipkan baris baru tersembunyi ke dalam kolom kata sandi pada permintaan login. Karakter ini tidak disaring oleh cPanel, sehingga memungkinkan data arbitrer disuntikkan langsung ke dalam file sesi.

Melalui langkah sekunder yang melibatkan permintaan yang sengaja tidak valid, data yang disuntikkan kemudian dipromosikan ke dalam cache sesi aktif, di mana cPanel membacanya sebagai data autentikasi yang sah. Setelah itu, sistem menganggap sesi tersebut sudah terautentikasi dan melewatkan verifikasi kata sandi, sehingga memberikan akses tanpa memeriksa kredensial pengguna.

Langkah Deteksi dan Pencegahan

cPanel telah menerbitkan skrip deteksi untuk memindai file sesi guna mencari indikator kompromi, termasuk sesi yang mengandung stempel waktu autentikasi yang disuntikkan, sesi pra-autentikasi dengan atribut autentikasi, serta kolom kata sandi yang berisi baris baru tersembunyi.

watchTowr juga merilis Detection Artifact Generator, alat yang dapat digunakan administrator untuk memverifikasi apakah instansi mereka masih rentan.

Namecheap, salah satu registrar domain dan penyedia hosting terbesar, sempat memblokir sementara koneksi ke port 2083 dan 2087 cPanel dan WHM sebelum perbaikan resmi tersedia. Langkah ini diambil untuk melindungi pelanggan sementara menunggu perbaikan resmi. Setelah cPanel merilis patch, Namecheap mulai menerapkannya.

Perbaikan cPanel dan Dampak Kerentanan

Perbaikan cPanel mencakup tujuh cabang versi, mulai dari 11.110.0 hingga 11.136.0, serta versi WP Squared 11.136.1. Dalam pengumumannya, cPanel menyatakan bahwa perbaikan memastikan input berbahaya dibersihkan secara otomatis dalam proses inti penyimpanan sesi, bukan bergantung pada setiap bagian kode untuk melakukannya secara terpisah.

Patch ini juga menambahkan penanganan untuk kasus di mana kunci enkripsi per-sesi hilang. Kondisi ini tidak ditangani oleh kode asli dan dieksploitasi oleh penyerang untuk sepenuhnya melewati pengkodean kata sandi.

Kerentanan ini diberi skor 9,8 pada skala CVSS, menandakan tingkat keparahan yang sangat tinggi.