cPanel & WHMの一連のクリティカルなセキュリティ脆弱性が、数百万のホスティングサイトを危険にさらしており、パッチがリリースされる前にすでに少なくとも1つの脆弱性が野外で武器化されています。
2026年4月下旬に開示されたCVE-2026-41940は最も危険で、CVSSスコアは9.8です。
特に懸念される点は、このバイパスが多要素認証を完全に回避できるということです。
一度侵入すると、攻撃者はホスティング環境に対する完全な管理制御を獲得します。これにはウェブサイト、データベース、メールアカウント、設定ファイル、APIトークンが含まれます。
セキュリティ研究者がパッチが利用可能になる数週間前に野外での積極的な悪用を確認し、CISAはCVE-2026-41940を既知の悪用脆弱性カタログに追加しました。
4月の勧告は始まりに過ぎません。cPanelは2026年5月にさらに2回のセキュリティ修正を続けました。
これらの5月の脆弱性の一部の完全な技術的詳細は限定的かもしれませんが、CVE-2026-41940と並んでの存在は危険な攻撃面を作り出します。
組み合わせると、これらの脆弱性は決意した攻撃者にcPanel管理サーバーへの複数の経路を与えます。
初期の認証バイパスを超えて、敵対者は5月の脆弱性をチェーンして権限を昇格させたり、ホスティングアカウント間をピボットしたり、長期的な永続性のためにウェブシェルを配置したりできます。これは共有ホスティングプラットフォームでの深刻な懸念です。ここでは1つの侵害されたインスタンスが数十の顧客環境を公開できます。
InMotion Hostingのようなホスティング企業は、すでに管理環境にパッチを自動的にロールアウトしています。ただし、自己管理型VPSおよび専用サーバー顧客は手動で対応する必要があります。
セキュリティチームはこれを日常的なパッチサイクル以上のものとして扱うべきです。積極的な悪用、高いCVSSスコア、および複数のチェーンされた脆弱性の組み合わせは、対応の遅延をホスティング提供者とサイト所有者の両方にとって重大な責任にしています。
翻訳元: https://cyberpress.org/multiple-cpanel-bugs/