Vulnerabilidade crítica no cPanel permite bypass de autenticação e já é explorada por hackers

Uma grave vulnerabilidade de bypass de autenticação no cPanel, um dos sistemas de controle de hospedagem web mais utilizados na internet, está sendo ativamente explorada por cibercriminosos, segundo alertas de pesquisadores de segurança e provedores de hospedagem. A falha, rastreada como CVE-2026-41940, afeta todas as versões suportadas do cPanel e do WebHost Manager (WHM) lançadas após a versão 11.40, além do WP Squared, um painel de gerenciamento de hospedagem WordPress baseado na plataforma do cPanel.

Varreduras na internet conduzidas pela empresa de segurança Rapid7, utilizando a ferramenta Shodan, identificaram cerca de 1,5 milhão de instâncias do cPanel expostas online. No entanto, o número exato de sistemas vulneráveis ainda não foi determinado.

O cPanel lançou um patch de correção na terça-feira (10), mas relatos indicam que a exploração da vulnerabilidade já ocorria antes da disponibilização da atualização. A KnownHost, provedora de hospedagem que utiliza o cPanel, confirmou ter observado ataques bem-sucedidos em ambientes reais antes mesmo da liberação do reparo.

A Cybersecurity and Infrastructure Security Agency (CISA) adicionou o CVE à sua lista de Vulnerabilidades Conhecidamente Exploradas (KEV) na quinta-feira (12), reforçando o risco iminente. A empresa watchTowr publicou detalhes técnicos em um blog na quarta-feira (11), explicando como a falha funciona:

Como o ataque explora a vulnerabilidade

A falha decorre do manuseio incorreto de entradas de usuário durante o processo de login. Ao tentar acessar o sistema, o cPanel grava dados da solicitação em um arquivo de sessão do lado do servidor antes de verificar a identidade do usuário. Os atacantes podem explorar isso inserindo quebras de linha ocultas no campo de senha da solicitação de login — caracteres que o cPanel não remove adequadamente.

Essas quebras de linha permitem a injeção arbitrária de dados no arquivo de sessão. Em um segundo passo, envolvendo uma solicitação malformada, os dados injetados são promovidos para o cache ativo da sessão, onde o cPanel os interpreta como legítimos. Com isso, o sistema considera a sessão como já autenticada, ignorando completamente a verificação da senha e concedendo acesso sem credenciais válidas.

Mecanismos de detecção e mitigação

O cPanel publicou um script de detecção para verificar arquivos de sessão em busca de indícios de comprometimento, como:

• Sessões com marcas temporais de autenticação injetadas;
• Sessões pré-autenticação com atributos de autenticação;
• Campos de senha contendo quebras de linha embutidas.

A watchTowr também lançou um gerador de artefatos de detecção, permitindo que administradores verifiquem se suas instâncias ainda estão vulneráveis.

Como medida preventiva, a Namecheap, um grande registrador de domínios e provedor de hospedagem, bloqueou temporariamente conexões às portas 2083 e 2087 do cPanel e WHM antes do lançamento do patch, visando proteger clientes enquanto a correção não estava disponível. A empresa aplicou a atualização assim que o cPanel a liberou.

Detalhes da correção e impacto

As versões corrigidas do cPanel abrangem sete ramos de versão, de 11.110.0 a 11.136.0, além da versão 11.136.1 do WP Squared. O cPanel destacou que o reparo garante que entradas potencialmente perigosas sejam automaticamente limpas durante o processo de salvamento da sessão, eliminando a necessidade de cada parte do código tratar a segurança individualmente.

A atualização também adiciona tratamento para casos em que uma chave de criptografia por sessão está ausente — uma condição não considerada no código original e que os atacantes exploravam para bypassar completamente a codificação da senha.

A vulnerabilidade recebeu uma pontuação de 9,8 no CVSS, classificando-a como crítica.

Recomendações: Administradores devem aplicar o patch imediatamente e revisar logs em busca de atividades suspeitas. Ferramentas de detecção, como os scripts disponibilizados pelo cPanel e watchTowr, são essenciais para identificar possíveis explorações.