cPanelおよびWHMの重大な脆弱性に対する緊急パッチが利用可能です。この脆弱性により、攻撃者は認証をバイパスし、これを使用して管理されているサーバーのルートアクセスを獲得できます。
cPanelおよびWebHost Manager(WHM)コントロールパネルが、いくつかの推定によると7000万のドメイン向けのプロパティを管理するのを支援しており、CVE-2026-41940(9.8)の重大な深刻度を考えると、セキュリティシーンではこの脆弱性は災害と見なされています。
また、パッチが適用される前のソフトウェアのすべてのサポートされているバージョンに影響します。
初心者向けに説明すると、cPanelとWHMは両方ともLinuxベースのコントロールパネルです。前者はウェブサイト、データベース、ファイル転送、メール設定、ドメインを管理するために使用され、後者はサーバーの管理に使用されます。
両者はインターネットの主要な基盤です。それらに侵入することで、攻撃者はこれらの機能に関連するすべてのシークレットへの制限のないアクセスを得られます。
またはwatchTowrが言った通り:「それを王国の鍵、そして王国内のすべての個々のアパートメントの鍵と考えてください。王国がインターネットで、アパートメントがウェブサイトだったら。すべてのために。」
おそらく最悪の部分は、KnownHostのCEOダニエル・ピアソンなどのディフェンダーからの初期の兆候が、少なくとも30日間、ゼロデイとして悪用されている可能性があることを示唆していることです。
または、脆弱性自体の性質がさらに悪い可能性があります。つまり、攻撃者はあらゆる種類の認証をバイパスしながらルートアクセスを獲得できることです。これはほぼ最大のCVSSに値する機能です。
この脆弱性はまた、cPanelが所有するWordPressホスティングプラットフォームであるWP Squaredにも影響します。
CVE-2026-41940を悪用して成功することは、キャリッジリターンラインフィード(CRLF)の欠陥として要約でき、攻撃されたアプリケーションがユーザー提供の入力を適切にサニタイズしていないことを意味しています。わずか数ステップを含みます。
攻撃者は、失敗したログイン試行を完了することでセッションクッキーを作成し、次にルートに特権を変更する指示を含む特別に作成されたヘッダーを含むリクエストを送信します。その後、そのクッキーを使用してcPanelとWHMにrootとしてログインできます。
通常のシナリオでは、cPanelは攻撃者が提供する値を暗号化しますが、パッチが適用されていないバージョンでは、攻撃者は16進値を削除してこのプロセスの実行を停止し、平文の「make-me-root」コマンドが他の信頼されたコードのように通過することを可能にします。
上記は、手順の高レベルで簡潔な要約です。専門家がどのように攻撃パスを把握したかについての詳しい説明を探している人のために、watchTowrは典型的なユーモアを交えたスタイルでワークフローを公開しました。
一般的なアドバイスは、cPanelとWHMを実行している場合、すぐにパッチを適用することです。これは悪い脆弱性であり、ゼロデイ悪用の可能性を考えると、cPanelの検出スクリプトを実行することで、ディフェンダーが必要なパッチだけなのか、それとも緊急に対応が必要なのかを理解するのに役立ちます。
watchTowrはまた、ディフェンダーが侵害の兆候をかぎ分けるのを支援するために、独自の検出成果物ジェネレーターも公開しました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/30/cpanel_whn_cves/
