Allvarlig säkerhetsbrist i cPanel utnyttjas i skarpt läge
En kritisk säkerhetsbrist i cPanel, en av de mest spridda webbhotellspanelerna på internet, utnyttjas aktivt av cyberkriminella. Enligt säkerhetsforskare och hostingleverantörer pågår redan attacker via den så kallade CVE-2026-41940-sårbarheten, som möjliggör autentiseringsbypass. Detta innebär att obehöriga kan få tillgång till system utan giltiga inloggningsuppgifter.
Sårbarheten påverkar miljontals system
Sårbarheten drabbar alla stödda versioner av cPanel och WebHost Manager (WHM) släppta efter version 11.40, inklusive WP Squared – en WordPress-hostingpanel baserad på cPanel. Säkerhetsföretaget Rapid7 identifierade via Shodan cirka 1,5 miljoner exponerade cPanel-instanser online, men det exakta antalet sårbara system är ännu okänt.
cPanel släppte en säkerhetspatch under tisdagen, men redan innan dess hade angripare börjat utnyttja bristen. KnownHost, en hostingleverantör som använder cPanel, rapporterade tidigare i veckan att lyckade attacker hade observerats i det fria.
CISA inkluderar CVE i sin lista över kända utnyttjade sårbarheter
Den amerikanska myndigheten Cybersecurity and Infrastructure Security Agency (CISA) har lagt till CVE-2026-41940 i sin lista över kända utnyttjade sårbarheter (Known Exploited Vulnerabilities, KEV). Detta innebär att alla organisationer som använder cPanel uppmanas att omedelbart uppdatera sina system.
Teknisk genomgång: Hur sårbarheten fungerar
Säkerhetsföretaget watchTowr har publicerat en teknisk analys av bristen. Felet uppstår på grund av felaktig hantering av användarinmatning under inloggningsprocessen. När en användare försöker logga in skriver cPanel data från förfrågan till en serversession innan identiteten verifieras. En angripare kan utnyttja detta genom att lägga till dolda radbrytningar i lösenordsfältet – tecken som cPanel misslyckas med att rensa bort. Denna data injiceras sedan direkt i sessionens fil och kan via en andra manipulering av förfrågan flyttas till den aktiva cachen. Där tolkas den som legitim, vilket gör att systemet uppfattar sessionen som redan autentiserad och hoppar över lösenordsverifieringen.
Följden blir att angriparen får obegränsad tillgång utan att behöva ange korrekta inloggningsuppgifter.
Hur upptäcka och skydda sig
cPanel har publicerat ett detekteringsskript som kan skanna sessionfiler efter tecken på kompromettering. Skriptet letar efter:
- Injicerade autentiseringstidstämplar i sessioner
- Förautentiserade sessioner med autentiseringsattribut
- Lösenordsfält som innehåller dolda radbrytningar
watchTowr har dessutom släppt ett "Detection Artifact Generator", ett verktyg som administratörer kan använda för att kontrollera om deras instanser fortfarande är sårbara.
Namcheap blockerade temporärt kritiska portar
Som en tillfällig åtgärd blockerade Namecheap, en stor domänregistrator och hostingleverantör, temporärt anslutningar till cPanel och WHM på portarna 2083 och 2087 innan patchen fanns tillgänglig. Åtgärden syftade till att skydda kunder medan den officiella säkerhetsuppdateringen bearbetades. Efter cPanels uppdatering har blockeringen nu tagits bort.
Uppdateringar täcker sju versioner
cPanels säkerhetspatch täcker sju olika versioner, från 11.110.0 till 11.136.0, samt WP Squared version 11.136.1. Företaget meddelar att patchen säkerställer att farlig indata rensas automatiskt i den centrala session-sparprocessen, istället för att varje del av koden ska hantera det separat. Dessutom har hanteringen av saknade per-sessionskrypteringsnycklar förbättrats – en brist i den tidigare koden som angripare kunde utnyttja för att kringgå lösenordskryptering helt.
Sårbarheten har bedömts till 9,8 på CVSS-skalan, vilket klassificeras som kritisk.
Omedelbara åtgärder rekommenderas
Med tanke på den aktiva utnyttjningen och den höga allvarlighetsgraden uppmanas alla cPanel-användare att omedelbart installera den senaste säkerhetspatchen. CISA:s inkludering av CVE i KEV-listan innebär dessutom att amerikanska myndigheter och organisationer är skyldiga att åtgärda bristen inom en snar framtid.
Relaterade artiklar
Ny allvarlig Cisco-sårbarhet utnyttjas aktivt av hotgrupp
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
AI:s genombrott förändrar krigföring – Pentagon varnar för revolution
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
AI:s framfart gör identitetssäkerhet avgörande för statliga nätverk
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn utsatt för cyberattack – fabriker i Nordamerika drabbade
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-app samlar in 150 000 bilder av bajs – nu säljs databasen vidare
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI:s genombrott: Nya modeller klarar komplexa cyberattacker på rekordtid
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
Representanthuset granskar AI-modellen Mythos och dess cyberrisker i hemliga möten
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI som vapen: Nya hoten mot företag och identitetsbedrägerier
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...