Уязвимость в cPanel позволяет обходить аутентификацию: эксплуатируется в реальных атаках

В cPanel, одной из самых популярных панелей управления веб-хостингом, обнаружена критическая уязвимость, позволяющая обходить аутентификацию. Эксперты по кибербезопасности и хостинг-провайдеры подтверждают, что атаки уже ведутся в реальных условиях.

Ошибка, обозначенная как CVE-2026-41940, затрагивает все поддерживаемые версии cPanel и WebHost Manager (WHM) начиная с 11.40, а также WP Squared — панель управления WordPress-хостингом, построенную на базе cPanel. По данным компании Rapid7, в интернете насчитывается около 1,5 миллиона открытых инстансов cPanel, но точное количество уязвимых систем неизвестно.

Уязвимость была исправлена в патче, выпущенном cPanel во вторник, однако на момент релиза эксплойты уже использовались злоумышленниками. Хостинг-провайдер KnownHost сообщил о первых успешных атаках ещё до выхода исправления. Агентство кибербезопасности США (CISA) добавило CVE-2026-41940 в список известных эксплуатируемых уязвимостей (KEV).

Как работает уязвимость

Эксперты из watchTowr подробно описали механизм атаки. Ошибка возникает из-за неправильной обработки пользовательского ввода при входе в систему. Во время авторизации cPanel записывает данные из запроса в файл сессии на сервере до проверки подлинности пользователя.

Злоумышленники могут внедрить скрытые символы переноса строки в поле пароля, которые cPanel не удаляет. Это позволяет вставить произвольные данные в файл сессии. Далее, с помощью специально сформированного запроса, внедрённые данные попадают в активный кэш сессии, где система воспринимает их как легитимные. В результате cPanel пропускает проверку пароля и предоставляет доступ без аутентификации.

Средства обнаружения и защиты

cPanel опубликовал скрипт для обнаружения признаков компрометации, который сканирует файлы сессий на наличие:

• внедрённых временных меток аутентификации;
• сессий с атрибутами аутентификации до проверки;
• полей пароля, содержащих символы переноса строки.

Компания watchTowr также выпустила инструмент «Detection Artifact Generator», позволяющий администраторам проверить уязвимость своих систем.

Крупный регистратор доменов и хостинг-провайдер Namecheap временно заблокировал соединения к портам cPanel и WHM (2083 и 2087) до выхода патча, чтобы защитить клиентов. После релиза исправления компания начала применять обновление.

Что исправил производитель

Обновлённые версии cPanel закрывают уязвимость во всех семи ветках версий — от 11.110.0 до 11.136.0, а также в WP Squared версии 11.136.1. В патче реализована автоматическая очистка потенциально опасного ввода в процессе сохранения сессии, а также добавлена обработка случаев отсутствия ключа шифрования сессии — уязвимости, которую ранее не учитывали.

Уязвимости присвоена оценка 9,8 по шкале CVSS, что соответствует категории «критическая».