CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-41940

Authentication bypass w cPanel/WHM — nieautoryzowany dostęp do panelu

CVSS 9.3v4.0pub. 2026-04-29upd. 2026-05-04

cPanel, WHM oraz cPanel WP Squared w wersjach po 11.40 zawierają krytyczną podatność typu authentication bypass w mechanizmie logowania, umożliwiającą nieuwierzytelnionemu atakującemu przejęcie kontroli nad panelem zarządzania. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.

Pokaż oryginał (EN)

cPanel and WHM versions after 11.40 contain an authentication bypass vulnerability in the login flow that allows unauthenticated remote attackers to gain unauthorized access to the control panel.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) polega na błędzie w przepływie logowania (login flow), który nie wymaga poprawnego uwierzytelnienia dla krytycznych funkcji panelu. Zdalny, nieuwierzytelniony atakujący może poprzez sieć (AV:N) bez żadnych dodatkowych warunków (AC:L, AT:N) i bez interakcji użytkownika (UI:N) ominąć mechanizmy uwierzytelniania i uzyskać nieautoryzowany dostęp do panelu cPanel/WHM.

Skutki

Atakujący uzyskuje pełny nieautoryzowany dostęp do panelu kontrolnego cPanel lub WHM, co w praktyce oznacza możliwość przejęcia zarządzanych kont hostingowych, modyfikacji konfiguracji serwera, kradzieży danych oraz instalacji złośliwego oprogramowania na hostowanych stronach i serwerze.

Mitygacja

Należy niezwłocznie zastosować aktualizację bezpieczeństwa opisaną przez producenta w artykule 'cPanel & WHM Security Update 04-28-2026' (https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026). Szczegółowe numery wersji z poprawką dostępne są w release notes producenta oraz changelogu WP Squared. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do portów panelu cPanel/WHM (domyślnie 2082, 2083, 2086, 2087) wyłącznie do zaufanych adresów IP na poziomie firewall.

Kogo dotyczy

cPanel and WHM oraz cPanel WP Squared w wersjach po 11.40 — szczegółowa lista dotkniętych wersji wskazana w referencjach producenta (docs.cpanel.net oraz support.cpanel.net).

Uwagi

Podatność opublikowana 2026-04-29, powiązana z alertem bezpieczeństwa producenta datowanym na 2026-04-28. Incydent odnotowany również przez Namecheap jako trwający krytyczny problem bezpieczeństwa (ongoing critical security vulnerability). Podatność widnieje w katalogu aktywnie eksploitowanych podatności CISA KEV.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Cpanel

    APP
    Cpanel
    11.40 – 86.0.41 (bez)88.0.0 – 110.0.97 (bez)112.0.0 – 118.0.63 (bez)120.0.0 – 124.0.35 (bez)126.0.1 – 126.0.54 (bez)128.0.0 – 130.0.19 (bez)132.0.0 – 132.0.29 (bez)134.0.0 – 134.0.20 (bez)136.0.0 – 136.0.5 (bez)
  • Cpanel Whm

    APP
    Cpanel
    11.40 – 86.0.41 (bez)88.0.0 – 110.0.97 (bez)112.0.0 – 118.0.63 (bez)120.0.0 – 124.0.35 (bez)126.0.1 – 126.0.54 (bez)128.0.0 – 130.0.19 (bez)132.0.0 – 132.0.29 (bez)134.0.0 – 134.0.20 (bez)136.0.0 – 136.0.5 (bez)
  • Cpanel Wp Squared

    APP
    Cpanel
    < 136.1.7

CISA KEV — szczegółyi

Dostawcai
WebPros
Produkti
cPanel & WHM and WP2 (WordPress Squared)
Data dodania do KEVi
30 kwietnia 2026
Termin remediation (USA)i
3 maja 2026(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

WebPros cPanel & WHM (WebHost Manager) i WP2 (WordPress Squared) zawierają lukę umożliwiającą obejście uwierzytelniania w przepływie logowania, która pozwala nieuwierzytelnionym zdalnym atakującym uzyskać nieautoryzowany dostęp do panelu kontrolnego.

tłumaczenie AI
Pokaż oryginał (EN)

WebPros cPanel & WHM (WebHost Manager) and WP2 (WordPress Squared) contain an authentication bypass vulnerability in the login flow that allows unauthenticated remote attackers to gain unauthorized access to the control panel.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 3 maja 2026
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2020-26101CRITICAL9.8ten sam produkt

In cPanel before 88.0.3, insecure RNDC credentials are used for BIND on a templated VM (SEC-549).

CVE-2020-26105CRITICAL9.8ten sam produkt

In cPanel before 88.0.3, insecure chkservd test credentials are used on a templated VM (SEC-554).

CVE-2020-26098CRITICAL9.8ten sam produkt

cPanel before 88.0.3 mishandles the Exim filter path, leading to remote code execution (SEC-485).

CVE-2020-26100CRITICAL9.8ten sam produkt

chsh in cPanel before 88.0.3 allows a Jailshell escape (SEC-497).

CVE-2020-26108CRITICAL9.8ten sam produkt

cPanel before 88.0.13 mishandles file-extension dispatching, leading to code execution (SEC-488).