2026-04-30 00:00
← VoltarA vulnerabilidade crítica de desvio de autenticação CVE-2026-41940 em cPanel, WHM e WP Squared está sendo explorada ativamente e tem sido aproveitada em tentativas desde o final de fevereiro. Não está claro quando a exploração começou, mas KnownHost, um provedor de hospedagem que usa cPanel, disse no dia em que a vulnerabilidade foi divulgada que “explotações bem-sucedidas foram vistas à solta” antes que uma correção fosse disponibilizada. No entanto, o CEO da KnownHost, Daniel Pearson, afirmou que a empresa “viu tentativas de execução já em 23/02/2026”. Detalhes técnicos recentemente publicados, que podem ser usados para desenvolver um exploit, revelam que o problema é uma “injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão do cPanel e WHM”. O cPanel lançou uma correção em 28 de abril, após pressão dos provedores de hospedagem. Para proteger os clientes, a Namecheap bloqueou temporariamente as conexões com as portas cPanel e WHM 2083 e 2087 até que os patches estivessem disponíveis. Um relatório da empresa de segurança ofensiva watchTowr explica que a falha é causada pelo tratamento inadequado de sessões no cPanel e WHM, onde a entrada controlada pelo usuário do cabeçalho Authorization é gravada em arquivos de sessão do lado do servidor antes da autenticação e sem a devida higienização. Os pesquisadores do watchTowr também publicaram uma análise detalhada sobre como o bug pode ser acionado para fazer login no sistema sem validar a...
A vulnerabilidade crítica de desvio de autenticação CVE-2026-41940 em cPanel, WHM e WP Squared está sendo explorada ativamente e tem sido aproveitada em tentativas desde o final de fevereiro. Não está claro quando a exploração começou, mas KnownHost, um provedor de hospedagem que usa cPanel, disse no dia em que a vulnerabilidade foi divulgada que “explotações bem-sucedidas foram vistas à solta” antes que uma correção fosse disponibilizada. No entanto, o CEO da KnownHost, Daniel Pearson, afirmou que a empresa “viu tentativas de execução já em 23/02/2026”. Detalhes técnicos recentemente publicados, que podem ser usados para desenvolver um exploit, revelam que o problema é uma “injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão do cPanel e WHM”. O cPanel lançou uma correção em 28 de abril, após pressão dos provedores de hospedagem. Para proteger os clientes, a Namecheap bloqueou temporariamente as conexões com as portas cPanel e WHM 2083 e 2087 até que os patches estivessem disponíveis. Um relatório da empresa de segurança ofensiva watchTowr explica que a falha é causada pelo tratamento inadequado de sessões no cPanel e WHM, onde a entrada controlada pelo usuário do cabeçalho Authorization é gravada em arquivos de sessão do lado do servidor antes da autenticação e sem a devida higienização. Os pesquisadores do watchTowr também publicaram uma análise detalhada sobre como o bug pode ser acionado para fazer login no sistema sem validar a senha fornecida, que pode ser usada para desenvolver uma exploração funcional.
De acordo com o Rapid7, as varreduras da Internet do Shodan mostram que há aproximadamente 1,5 milhão de instâncias do cPanel expostas online. No entanto, não há dados sobre quantos estão vulneráveis ao CVE-2026-41940. “A exploração bem-sucedida do CVE-2026-41940 concede ao invasor controle sobre o sistema host cPanel, suas configurações e bancos de dados, e os sites que ele gerencia”, alerta Rapid7. O cPanel atualizou seu comunicado de segurança, observando que a vulnerabilidade também afeta o WP Squared, um painel de gerenciamento abrangente para hospedagem WordPress construído em cPanel. Além disso, ao contrário do inicialmente declarado, apenas as versões do cPanel posteriores à 11.40 são afetadas pelo problema de segurança. O fornecedor recomenda fortemente que todos os clientes reiniciem o serviço ‘cpsrvd’ após instalar as versões mais recentes do software: Versões afetadas e versões corrigidas são: cPanel/WHM 11.110.0 → corrigido em 11.110.0.97 cPanel/WHM 11.118.0 → corrigido em 11.118.0.63 cPanel/WHM 11.126.0 → corrigido em 11.126.0.54 cPanel/WHM 11.132.0 → corrigido em 11.132.0.29 cPanel/WHM 11.134.0 → corrigido em 11.134.0.20 cPanel/WHM 11.136.0 → corrigido em 11.136.0.5 WP Squared 11.136.1 → corrigido em 11.136.1.7 Se a correção não for possível imediatamente, os clientes devem pelo menos bloquear o acesso externo às portas 2083, 2087, 2095 e 2096 ou interromper os serviços principais internos do cpsrvd e cpdavd cPanel. O fornecedor também forneceu um script de detecção para verificar se há comprometimento. Se forem encontrados indicadores, é recomendável limpar sessões, redefinir todas as credenciais, auditar logs e investigar mecanismos de persistência.
watchTowr também publicou um script Gerador de Artefato de Detecção que pode ser usado para verificar se as instâncias cPanel e WHM são vulneráveis ao CVE-2026-41940.