Bug di bypass autenticazione in cPanel sfruttato attivamente: CISA inserisce la vulnerabilità nella lista KEV

cPanel sotto attacco: vulnerabilità critica sfruttata prima della patch

Una grave vulnerabilità di bypass dell'autenticazione in cPanel, una delle piattaforme più diffuse per la gestione di hosting web, è attualmente sfruttata attivamente in attacchi reali. Lo confermano ricercatori della sicurezza e provider di hosting. Il difetto, tracciato come CVE-2026-41940, interessa tutte le versioni supportate di cPanel e WebHost Manager (WHM) rilasciate dopo la 11.40, nonché WP Squared, un pannello di gestione hosting WordPress basato su cPanel.

Dettagli tecnici della vulnerabilità

Secondo l'analisi di watchTowr, il difetto deriva da una gestione errata dell'input utente durante il processo di login. Quando un utente tenta di accedere, cPanel scrive i dati della richiesta in un file di sessione lato server prima di verificare l'identità dell'utente. Un attaccante può sfruttare questa falla inserendo caratteri di nuova riga nascosti nel campo della password della richiesta di login — caratteri che cPanel non rimuove correttamente. Questo permette l'iniezione arbitraria di dati nel file di sessione.

Attraverso un secondo passaggio, che coinvolge una richiesta appositamente malformata, i dati iniettati vengono promossi nella cache attiva della sessione. Qui, cPanel li interpreta come legittimi, considerando la sessione già autenticata e saltando completamente la verifica della password. In questo modo, l'attaccante ottiene l'accesso senza bisogno di credenziali valide.

Impatto e diffusione della vulnerabilità

Scansioni Internet condotte da Rapid7 tramite il motore di ricerca Shodan hanno identificato circa 1,5 milioni di istanze di cPanel esposte online. Tuttavia, il numero esatto di sistemi vulnerabili rimane sconosciuto. Nonostante cPanel abbia rilasciato una patch martedì, gli attacchi erano già in corso. KnownHost, un provider che utilizza cPanel, ha confermato di aver rilevato exploit di successo già prima dell'applicazione della correzione.

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto il CVE-2026-41940 alla sua lista Known Exploited Vulnerabilities (KEV), segnalando la gravità della minaccia.

Soluzioni e misure di sicurezza

cPanel ha pubblicato uno script di rilevamento per scansionare i file di sessione alla ricerca di indicatori di compromissione, tra cui:

• Sessioni con timestamp di autenticazione iniettati;
• Sessioni pre-autenticazione con attributi di autenticazione;
• Campi password contenenti caratteri di nuova riga.

watchTowr ha inoltre rilasciato un generatore di artefatti di rilevamento per aiutare gli amministratori a verificare se i propri sistemi rimangono vulnerabili.

Namecheap, importante registrar e provider di hosting, ha temporaneamente bloccato le connessioni alle porte 2083 e 2087 di cPanel e WHM in attesa della patch, per proteggere i propri clienti. Dopo il rilascio della correzione, l'azienda ha applicato tempestivamente l'aggiornamento.

Dettagli della patch e valutazione del rischio

Le versioni patchate di cPanel risolvono il problema in sette rami di versione, dalla 11.110.0 alla 11.136.0, nonché WP Squared versione 11.136.1. L'aggiornamento garantisce che gli input potenzialmente pericolosi vengano automaticamente filtrati nel processo di salvataggio della sessione, invece di dipendere da ogni singola parte del codice per farlo separatamente.

La patch introduce inoltre una gestione per i casi in cui una chiave di cifratura per sessione è mancante — una condizione non prevista dal codice originale e che gli attaccanti potevano sfruttare per bypassare completamente la codifica della password.

Il CVE ha ricevuto un punteggio di 9.8 su 10 sulla scala CVSS, indicando una vulnerabilità critica.

«Questa vulnerabilità dimostra ancora una volta l'importanza di applicare tempestivamente le patch di sicurezza e di monitorare costantemente i sistemi per rilevare attività sospette», ha dichiarato un portavoce di CISA.

Raccomandazioni per gli amministratori di sistema

Gli esperti consigliano di:

• Applicare immediatamente la patch rilasciata da cPanel;
• Eseguire lo script di rilevamento fornito da cPanel per verificare la presenza di compromissioni;
• Monitorare i log di accesso per attività sospette, in particolare tentativi di login con caratteri speciali nei campi password;
• Considerare l'applicazione di misure di sicurezza aggiuntive, come il blocco delle porte 2083 e 2087 in attesa della patch, se non ancora applicata.