cPanel&WHMの重大な認証回避脆弱性(CVE-2026-41940として追跡)が野外で積極的に悪用されており、世界的なWebホスティング業界全体で緊急パッチロールアウトが強制されています。
watchTowrのセキュリティ研究者は、認証なしの攻撃者が脆弱なホスティングコントロールパネルへのルートレベルのアクセスを取得できることを確認するPoC検出ツールをリリースしました。これは世界中の共有ホスティング環境に致命的な影響を与えるシナリオです。
脆弱性はcPanel&WHMのcpsrvdサービスに存在し、11.40以降のすべてのバージョンに影響を与えます。サポート対象外の更新トラックにある古いインストールを含みます。
2026年4月28日に公開されたcPanelのセキュリティアドバイザリによると、この脆弱性は認証なしのリモート攻撃者が有効な認証情報なしに特権セッションをハイジャックできる認証回避です。
watchTowrの研究者シナ・ケイルカー(@SinSinology)によって実証された攻撃チェーンは、多段階のエクスプロイト手順を含みます。
エクスプロイトはポート2083、2087、2095、2096(標準的なcPanelとWHMアクセスポート)をターゲットにし、インターネット公開されているコントロールパネルすべてを実行可能なターゲットにします。
レポートによると、脆弱性は公開開示の約2週間前にcPanelに非公開で開示されました。
しかし、野外での確認された積極的な悪用により、cPanelは2026年4月28日に緊急パッチロールアウトを加速させることを余儀なくされました。
世界中のホスティングプロバイダーは、パッチを適用している間に大量の不正アクセスを防ぐための予防措置としてコントロールパネルをオフラインにしたと報告されています。
CVE識別子は現在PoC ツールではCVE-2026-Pendingとして記載されており、watchTowrによると、正式なCVE-2026-41940割り当てが正式なcPanelアドバイザリを追跡しています。
管理者はこれを緊急優先事項として扱い、直ちに対応すべきです。
直ちにパッチを適用できないサーバーの場合、cPanelは2つの暫定的な軽減策のいずれかを推奨しています。
cPanel&WHMが世界中の数百万の共有、リセラー、専用ホスティングサーバーに導入されている場合、攻撃面は膨大です。
ルートレベルのWHMアクセスへの認証回避は、本質的に攻撃者がホストされているすべてのアカウントを追加、変更、または削除したり、機密顧客データを流出させたり、ウェブシェルを展開したり、ホスティングインフラに進出したりできることを意味します。
公開PoCの公開により、悪用の敷居が劇的に低くなり、パッチが適用されていないサーバーが日和見的な脅威アクターと自動スキャンキャンペーンからの直接的なリスクにさらされます。
まだパッチを受け取っていない11.40以上のcPanelバージョンを実行している管理者は、これをアクティブなインシデント対応シナリオとして扱うべきです。
翻訳元: https://cyberpress.org/cpanel-0-day-auth-bypass-exploited/
