重大なcPanelおよびWHMバグがゼロデイとして悪用され、PoCが利用可能に

cPanel、WHM、およびWP Squaredの重大なCVE-2026-41940認証バイパス脆弱性が実際に積極的に悪用されており、2月後半から悪用の試みが行われています。

悪用がいつ始まったかは不明ですが、cPanelを使用するホスティングプロバイダーのKnownHostは、脆弱性が公開された日に、修正が利用可能になる前に「野生で成功した悪用が見られた」と述べました。

しかし、KnownHost CEOダニエル・ピアソンは、同社が「2026年2月23日と同様に早い時期から実行の試みを確認した」と述べました。

新たに公開された技術的詳細は、悪用を開発するために使用でき、この問題はcPanel＆WHMのログインおよびセッション読み込みプロセスにおける「キャリッジリターンラインフィード（CRLF）インジェクション」であることを明らかにしています。

cPanelはホスティングプロバイダーからの圧力を受けて4月28日に修正をリリースしました。顧客を保護するため、Namecheapは修正が利用可能になるまでcPanelおよびWHMポート2083および2087への接続を一時的にブロックしました。

オフェンシブセキュリティ企業watchTowrのレポートは、この欠陥はcPanel＆WHMでの不適切なセッション処理が原因であり、認可ヘッダーからのユーザー制御入力が認証前および適切なサニタイゼーションなしにサーバー側のセッションファイルに書き込まれることを説明しています。

watchTowr研究者は、パスワードを検証せずにシステムにログインするためにバグを引き起こす方法に関する詳細な分析も公開しており、これは実装可能な悪用を開発するために使用できます。

Rapid7によると、Shodanインターネットスキャンは、オンラインで公開されているcPanelインスタンスが約150万個あることを示しています。しかし、CVE-2026-41940に対して脆弱性がある数については、データがありません。

「CVE-2026-41940の成功した悪用により、攻撃者はcPanelホストシステム、その設定とデータベース、および管理するウェブサイトの制御を獲得します」とRapid7は警告しています。

cPanelはセキュリティアドバイザリーを更新し、脆弱性がcPanelに基づいて構築されたWordPressホスティング用の包括的な管理パネルであるWP Squaredにも影響することを指摘しています。さらに、最初に述べたのとは異なり、11.40以降のcPanelバージョンのみがセキュリティ問題の影響を受けます。セキュリティアドバイザリー

ベンダーは、すべてのお客様が最新リリースのソフトウェアをインストール後に「cpsrvd」サービスを再起動することを強く推奨しています：

影響を受けるリリースと修正されたバージョンは以下の通りです：

• cPanel/WHM 11.110.0 → 11.110.0.97で修正
• cPanel/WHM 11.118.0 → 11.118.0.63で修正
• cPanel/WHM 11.126.0 → 11.126.0.54で修正
• cPanel/WHM 11.132.0 → 11.132.0.29で修正
• cPanel/WHM 11.134.0 → 11.134.0.20で修正
• cPanel/WHM 11.136.0 → 11.136.0.5で修正
• WP Squared 11.136.1 → 11.136.1.7で修正

修正が直ちに不可能な場合、顧客は最低限、ポート2083、2087、2095、および2096への外部アクセスをブロックするか、cpsrvdおよびcpdavd cPanel内部コアサービスを停止する必要があります。

ベンダーは、侵害をチェックするための検出スクリプトも提供しました。インジケーターが見つかった場合、セッションをパージし、すべての認証情報をリセットし、監査ログを確認し、永続性メカニズムを調査することが推奨されます。

watchTowrはまた、cPanelおよびWHMインスタンスがCVE-2026-41940に対して脆弱性があるかどうかを確認するために使用できる検出アーティファクトジェネレータースクリプトも公開しています。