cPanel, WHM oraz cPanel WP Squared w wersjach po 11.40 zawierają krytyczną podatność typu authentication bypass w mechanizmie logowania, umożliwiającą nieuwierzytelnionemu atakującemu przejęcie kontroli nad panelem zarządzania. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
cPanel and WHM versions after 11.40 contain an authentication bypass vulnerability in the login flow that allows unauthenticated remote attackers to gain unauthorized access to the control panel.
Podatność sklasyfikowana jako CWE-306 (Missing Authentication for Critical Function) polega na błędzie w przepływie logowania (login flow), który nie wymaga poprawnego uwierzytelnienia dla krytycznych funkcji panelu. Zdalny, nieuwierzytelniony atakujący może poprzez sieć (AV:N) bez żadnych dodatkowych warunków (AC:L, AT:N) i bez interakcji użytkownika (UI:N) ominąć mechanizmy uwierzytelniania i uzyskać nieautoryzowany dostęp do panelu cPanel/WHM.
Atakujący uzyskuje pełny nieautoryzowany dostęp do panelu kontrolnego cPanel lub WHM, co w praktyce oznacza możliwość przejęcia zarządzanych kont hostingowych, modyfikacji konfiguracji serwera, kradzieży danych oraz instalacji złośliwego oprogramowania na hostowanych stronach i serwerze.
Należy niezwłocznie zastosować aktualizację bezpieczeństwa opisaną przez producenta w artykule 'cPanel & WHM Security Update 04-28-2026' (https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026). Szczegółowe numery wersji z poprawką dostępne są w release notes producenta oraz changelogu WP Squared. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do portów panelu cPanel/WHM (domyślnie 2082, 2083, 2086, 2087) wyłącznie do zaufanych adresów IP na poziomie firewall.
cPanel and WHM oraz cPanel WP Squared w wersjach po 11.40 — szczegółowa lista dotkniętych wersji wskazana w referencjach producenta (docs.cpanel.net oraz support.cpanel.net).
Podatność opublikowana 2026-04-29, powiązana z alertem bezpieczeństwa producenta datowanym na 2026-04-28. Incydent odnotowany również przez Namecheap jako trwający krytyczny problem bezpieczeństwa (ongoing critical security vulnerability). Podatność widnieje w katalogu aktywnie eksploitowanych podatności CISA KEV.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XCpanel
APPCpanel11.40 – 86.0.41 (bez)88.0.0 – 110.0.97 (bez)112.0.0 – 118.0.63 (bez)120.0.0 – 124.0.35 (bez)126.0.1 – 126.0.54 (bez)128.0.0 – 130.0.19 (bez)132.0.0 – 132.0.29 (bez)134.0.0 – 134.0.20 (bez)136.0.0 – 136.0.5 (bez)Cpanel Whm
APPCpanel11.40 – 86.0.41 (bez)88.0.0 – 110.0.97 (bez)112.0.0 – 118.0.63 (bez)120.0.0 – 124.0.35 (bez)126.0.1 – 126.0.54 (bez)128.0.0 – 130.0.19 (bez)132.0.0 – 132.0.29 (bez)134.0.0 – 134.0.20 (bez)136.0.0 – 136.0.5 (bez)Cpanel Wp Squared
APPCpanel< 136.1.7
CISA KEV — szczegółyi
- Dostawcai
- WebPros ↗
- Produkti
- cPanel & WHM and WP2 (WordPress Squared)
- Data dodania do KEVi
- 30 kwietnia 2026
- Termin remediation (USA)i
- 3 maja 2026(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
WebPros cPanel & WHM (WebHost Manager) i WP2 (WordPress Squared) zawierają lukę umożliwiającą obejście uwierzytelniania w przepływie logowania, która pozwala nieuwierzytelnionym zdalnym atakującym uzyskać nieautoryzowany dostęp do panelu kontrolnego.
▸ Pokaż oryginał (EN)
WebPros cPanel & WHM (WebHost Manager) and WP2 (WordPress Squared) contain an authentication bypass vulnerability in the login flow that allows unauthenticated remote attackers to gain unauthorized access to the control panel.
Powiązane podatności
In cPanel before 88.0.3, insecure RNDC credentials are used for BIND on a templated VM (SEC-549).
In cPanel before 88.0.3, insecure chkservd test credentials are used on a templated VM (SEC-554).
cPanel before 88.0.3 mishandles the Exim filter path, leading to remote code execution (SEC-485).
chsh in cPanel before 88.0.3 allows a Jailshell escape (SEC-497).
cPanel before 88.0.13 mishandles file-extension dispatching, leading to code execution (SEC-488).