ハッカーは数か月間、cPanel&WHM(WebHost Manager)サーバおよびサイト管理プラットフォームの重大度のある認証回避脆弱性を悪用してきました。
CVE-2026-41940(CVSS スコア 9.8)として追跡されるこの欠陥は4月28日に公開され、cPanelはすぐさまパッチの適用を促し、11.40以降のすべてのソフトウェアバージョンが影響を受けることを警告しましたが、技術的な情報の公開は控えています。
ログインフローに影響する当該セキュリティ欠陥により、認証されていない遠隔の攻撃者がコントロールパネルへの管理者アクセスを取得でき、本質的にはシステムの乗っ取りにつながる可能性があります。
カナダサイバーセキュリティセンターが指摘しているように、この問題の悪用に成功すると、攻撃者は共有ホストサーバ上のサーバ構成を変更し、すべてのウェブサイトを侵害する可能性があります。
「CVE-2026-41940の悪用に成功すると、攻撃者はcPanelホストシステム、その構成およびデータベース、および管理するウェブサイトを制御できるようになります」とサイバーセキュリティ企業Rapid7は述べています。
同社が警告するShodan検索により、攻撃にさらされる可能性のあるインターネットアクセス可能なcPanelインスタンスが約150万あることが示されています。
CVE-2026-41940を分析した攻撃対象領域管理企業WatchTowrは、ログイン試行が失敗すると、cPanelサービスデーモンが認証前セッションファイルをディスクに書き込むこと、および攻撃者がクッキーを操作して攻撃者制御の認証情報をプレーンテキストで書き込めることを発見しました。
本質的には、このバグにより攻撃者は認可ヘッダ経由で特定の文字を挿入してセッションファイルに特定のパラメータを書き込み、その後ファイルのリロードをトリガーして注入した認証情報を使用して認証することができます。
ホスティングプロバイダKnownHostによるReddit投稿によると、この脆弱性は2026年2月23日以降、実際に悪用されてきました。
この問題について通知された直後、KnownHost、HostPapa、InMotion、Namecheap、およびその他のホスティングプロバイダはパッチを安全にデプロイするためにcPanel&WHMポートへのアクセスをブロックしました。
修正はcPanel&WHMバージョン11.86.0.41、11.110.0.97、11.118.0.63、11.126.0.54、11.130.0.19、11.132.0.29、11.136.0.5、および11.134.0.20に含まれ、WP Squaredバージョン136.1.7にも含まれました。
「サーバがこのアップデートの対象となるcPanelのサポートされているバージョンを実行していない場合、影響を受ける可能性があるため、できるだけ早くサーバのアップデートに向けて作業することを強く推奨します」とcPanelはそのセキュリティアドバイザリで述べています。
cPanelは検出スクリプトを公開し、WatchTowrは管理者が侵害の兆候を特定するのを支援するための検出アーティファクトジェネレータをリリースしました。
翻訳元: https://www.securityweek.com/critical-cpanel-whm-vulnerability-exploited-as-zero-day-for-months/
