Pentest-Tools.comは、cPanel&WHMおよびWP Squaredに影響する重大な認証回避脆弱性CVE-2026-41940のための無料ノーログインスキャナーをリリースしました。この脆弱性は2026年2月以来、実際の環境で活発に悪用されています。
CVSS 9.8 Criticalで評価され、CISAの既知悪用脆弱性カタログに追加されたこの脆弱性により、未認証の攻撃者はcPanelサービスデーモンであるcpsrvdのCRLFインジェクション脆弱性を悪用して、cPanelのログインプロセス全体をバイパスできます。whostmgrsessionクッキーを操作することで、攻撃者はセッションファイルが検証される前に認証状態フラグをセッションファイルに注入し、認証情報、ユーザーインタラクション、特別な権限なしで完全なアクセス権を獲得できます。
曝露の規模は深刻です。2026年4月のShodanデータによると、約150万のcPanelおよびWHMインターフェースがインターネットから直接到達可能です。単一のcPanelサーバーは通常、数十から数百の個別のカスタマーアカウントをホストするため、悪用に成功すると、プライマリアカウント所有者だけでなく、そのサーバー上のすべてのアカウントに影響を与えます。cPanelユーザーインターフェース(ポート2082/2083)とWHM管理者インターフェース(ポート2086/2087)の両方、およびセッション認証に依存するXML-APIおよびUAPIエンドポイントが影響を受けます。
この脆弱性を特に注目すべき点は、検出されるまでにかかった長さです。KnownHostのCEO Daniel Pearsonは、公的な勧告、パッチ、またはCVEが存在する64日前の2026年2月23日までさかのぼって、彼の会社が悪用の試みを観察したことを確認しました。その後、侵害されたcPanel基盤を通じてアクティブなランサムウェアおよびボットネットキャンペーンが記録されています。
cPanel&WHMがパッチを2026年4月28日にリリースし、Cloudflareは4月30日に緊急のWAFルールをCloudflare背後のインフラストラクチャに対する部分的なネットワークエッジ緩和策として展開しました。WP Squaredも勧告をリリースしています。watchTowr Labsは詳細な技術分析とプルーフオブコンセプトを公開しました。
Pentest-Tools.comスキャナーはバージョンバナーチェック以上の機能を持っています。cPanelログインエンドポイントに細工されたCRLFペイロードを送信し、サーバーの実際のレスポンスに基づいて悪用可能性を評価します。チームは、バージョン確認だけでは、特定のインスタンスが本当にリスクにさらされているかどうかを確認するのに十分ではないことを指摘しています。
「まずパッチを当ててください」と、Pentest-Tools.comセキュリティチームは述べています。「バージョンテーブルを確認し、お使いのブランチの最初のパッチされたビルドに更新してください。Cloudflareの背後にいる場合は、Managed Rulesetが有効になっていることを確認してください。次に、ポート2082、2083、2086、および2087を信頼できるIPレンジにロックダウンし、疑わしく高速に認証するセッションのアクセスログを監視してください。バージョン確認だけでは、実際に悪用可能かどうかはわかりません。」
すぐにパッチを適用できない組織にとって、推奨される暫定的な手順は、cPanelおよびWHMポートアクセスを信頼できるIPレンジに制限し、該当する場合はCloudflare Managed Rulesetカバレッジを確認し、異常に短い認証時間のセッションのアクセスログを監視することです。
無料スキャナーはpentest-tools.com/network-vulnerability-scanning/cve-2026-41940-scanner-cpanel-authentication-bypassで利用可能です。
