新たに公開された複数のcPanel & WHMの脆弱性(重大なCVE‑2026‑41940認証回避バグと2026年5月の一連の欠陥を含む)により、サーバがパッチを適用しないままの場合、攻撃者が機密リソースとホスティングアカウントにアクセスできる可能性があります。
インターネットに公開されているcPanelインスタンスを実行している組織は、少なくとも1つの問題がすでにアクティブな悪用下にあるため、すぐに更新することを強く推奨します。
cPanelセキュリティの欠陥
2026年4月下旬、cPanelはCVE‑2026‑41940を公表しました。これはcPanel & WHMおよびWP Squaredの重大な脆弱性で、認証されていないリモート攻撃者が通常のログインプロセスをバイパスし、有効な認証情報なしでコントロールパネルアクセスを取得できます。
この欠陥はセッション管理と認証フローにあり、細工されたリクエストと操作されたクッキーがプラットフォームを騙して攻撃者を認証されたユーザーとして扱わせることができます。
成功した悪用は多要素認証をバイパスでき、Webサイト、電子メール、データベースを含むホスティング環境の完全な管理制御につながる可能性があります。
セキュリティ研究者によると、CVE‑2026‑41940のCVSSスコアは9.8であり、パッチが公開される数週間前から悪意のある活動が観察され、実際に積極的に悪用されています。
一部の推定では、大量のインターネット公開cPanelサーバが公開される可能性があり、ホスティングプロバイダーとサイト所有者にとって迅速なパッチ適用とログレビューが優先事項になっています。
CISAも脆弱性を既知の悪用脆弱性カタログに追加し、組織に迅速な修復を行うプレッシャーが増しています。
4月の通知に続き、2026年5月初旬から中旬に、CVE‑2026‑29201、CVE‑2026‑29202、CVE‑2026‑29203を含む複数の新しいCVEをカバーする追加のセキュリティ更新が行われ、5月8日にパッチがリリースされました。
2番目のバッチの脆弱性 – CVE‑2026‑29205、CVE‑2026‑29206、CVE‑2026‑32991、CVE‑2026‑32992、およびCVE‑2026‑32993 – は5月13日の協調セキュリティパッチで対処されました。
これらの5月の欠陥の一部の完全な技術的詳細は限定的なままですが、cPanelとホスティングプロバイダーはそれらをサーバーサイドの問題として説明しており、サポートされているcPanel & WHMバージョンでは重大度が高いレベルに達しています。
InMotion Hostingなどのホスティング会社は、マネージド環境に対してパッチを自動的にロールアウトしていることを確認しており、セルフマネージドVPSと専用サーバーの顧客にはcPanel更新スクリプトを手動で実行することをアドバイスしています。
標準の /scripts/upcp プロセスを使用して、お使いのシステムが最新の修正ビルドを受け取り、これらの脆弱性にさらされなくなるようにしてください。
パッチを適用しないままにすると、これらの脆弱性はcPanel管理サーバー上の機密リソースに到達するための複数のパスを作成します。CVE‑2026‑41940の場合、成功した認証バイパスはコントロールパネルへの直接アクセスを許可し、攻撃者がWebサイトコンテンツ、データベース、設定ファイル、メールアカウント、APIトークンを表示または変更できます。
2026年5月の他の欠陥と組み合わせると、決意した敵対者は弱点を組み合わせて特権をエスカレートし、アカウント間をピボットするか、長期的な永続性のためのWebシェルを設置する可能性があります。
セキュリティチームは、これを単純なパッチ適用と忘却するイベント以上に扱うよう強く推奨されています。すべての関連するcPanel更新を適用した後、管理者は認証ログ、セッションディレクトリ、およびパネルアクセス履歴を確認して、疑わしいログイン、異常なIPアドレス、または少なくとも2026年2月にさかのぼる予期しない設定変更の兆候を探す必要があります。
パネルパスワード、APIキー、重要なアプリケーション認証情報のローテーションが推奨されます。特に単一の侵害されたcPanelインスタンスが複数の顧客環境を公開する可能性がある共有ホスティングプラットフォームでは。
翻訳元: https://gbhackers.com/multiple-cpanel-vulnerabilities-sensitive-resource-exposure/
