cPanel har alvorlig autentiseringsfeil – angripere utnytter sårbarhet i stor skala

En alvorlig autentiseringsfeil i cPanel, et av verdens mest utbredte webhotellkontrollpaneler, blir for tiden aktivt utnyttet av angripere i det fri. Sårbarheten, som er sporet til CVE-2026-41940, berører alle støttede versjoner av cPanel og WebHost Manager (WHM) utgitt etter versjon 11.40, samt WP Squared – et kontrollpanel for WordPress-hosting bygget på cPanel-plattformen.

Sikkerhetsfirmaet Rapid7 gjennomførte nylig internett-skanninger med verktøyet Shodan og identifiserte rundt 1,5 millioner eksponerte cPanel-instanser. Det nøyaktige antallet sårbare systemer er imidlertid ukjent. Til tross for at cPanel slapp en sikkerhetsoppdatering tirsdag, hadde angripere allerede utnyttet svakheten før en offisiell løsning var tilgjengelig.

KnownHost, en stor hostingleverandør som benytter cPanel, bekreftet tidligere denne uken at vellykkede angrep hadde blitt observert i det fri før noen patch var tilgjengelig. Cybersecurity and Infrastructure Security Agency (CISA) la nylig CVE-2026-41940 til sin liste over kjente utnyttede sårbarheter (Known Exploited Vulnerabilities, KEV).

Hvordan sårbarheten fungerer

Sikkerhetsfirmaet watchTowr publiserte tekniske detaljer i en bloggpost onsdag. De forklarer at feilen oppstår på grunn av feil håndtering av brukerinndata under innlogging. Når en bruker forsøker å logge inn, skriver cPanel data fra forespørselen inn i en serverside sesjonsfil før identiteten blir verifisert.

En angriper kan utnytte dette ved å legge inn skjulte linjeskift i passordfeltet i en innloggingsforespørsel – tegn som cPanel ikke fjerner. Dette tillater at vilkårlig data blir injisert direkte i sesjonsfilen. Gjennom en sekundær trinn, som også involverer en bevisst feilformatert forespørsel, blir den injiserte dataen flyttet inn i sesjonens aktive cache. Her leser cPanel det som legitim informasjon, og systemet oppfatter sesjonen som allerede autentisert. Dermed hopper cPanel over passordverifisering og gir tilgang uten å sjekke de faktiske legitimeringene.

Verktøy for å oppdage og beskytte seg

cPanel har publisert et deteksjonsskript som kan skanne sesjonsfiler for tegn på kompromittering. Dette inkluderer sesjoner med injiserte autentiseringstidspunkter, pre-autentiserte sesjoner med autentiserte attributter og passordfelt med skjulte linjeskift. watchTowr har i tillegg laget en «Detection Artifact Generator», som administratorer kan bruke for å sjekke om egne systemer fortsatt er sårbare.

Namecheap, en av verdens største domeneregistratorer og hostingleverandører, tok forhåndsregler ved å midlertidig blokkere tilkoblinger til cPanel og WHM på portene 2083 og 2087 før sikkerhetsoppdateringen var tilgjengelig. Etter at cPanel slapp oppdateringen, har selskapet begynt å implementere løsningen hos kundene.

Offisiell løsning og risikovurdering

cPanels oppdaterte versjoner løser problemet på syv versjonsgrener, fra 11.110.0 til 11.136.0, samt WP Squared versjon 11.136.1. Selskapet opplyser at oppdateringen sørger for at potensielt farlig inndata blir automatisk renset i kjerneprosessen for sesjonslagring, i stedet for at hver del av koden må håndtere dette separat.

Oppdateringen inkluderer også håndtering av tilfeller der en per-sesjonskrypteringsnøkkel mangler – en tilstand den originale koden ikke tok hensyn til, og som angripere utnyttet til å omgå passordkoding fullstendig. Sårbarheten har fått en CVSS-score på 9,8, som plasserer den i kategorien «kritisk».