2026-04-29 00:00
← VoltarO cPanel lançou atualizações de segurança para resolver um problema de segurança que afeta vários caminhos de autenticação que podem permitir que um invasor obtenha acesso ao software do painel de controle. O problema afeta todas as versões atualmente suportadas do cPanel e WebHost Manager (WHM), de acordo com um alerta publicado pela WebPros na terça-feira. Não possui um identificador oficial. O problema foi resolvido nas seguintes versões - “Se o seu servidor não estiver executando uma versão suportada do cPanel que seja elegível para esta atualização, é altamente recomendável que você trabalhe para atualizar seu servidor o mais rápido possível, pois ele também pode ser afetado”, observou cPanel. Embora o cPanel não tenha compartilhado nenhum detalhe sobre a vulnerabilidade, a empresa de hospedagem na web e registro de domínio Namecheap revelou que ela “se relaciona a uma exploração de login de autenticação que pode permitir acesso não autorizado ao painel de controle”. Como medida de precaução, a empresa aplicou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, uma medida que, segundo ela, restringirá temporariamente o acesso dos clientes às suas interfaces cPanel e WHM até que um patch completo seja aplicado. “Nossa equipe está monitorando ativamente a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível”, observou Namecheap. "O acesso aos seus painéis de controle será restaurado imediatamente assim que...
O cPanel lançou atualizações de segurança para resolver um problema de segurança que afeta vários caminhos de autenticação que podem permitir que um invasor obtenha acesso ao software do painel de controle. O problema afeta todas as versões atualmente suportadas do cPanel e WebHost Manager (WHM), de acordo com um alerta publicado pela WebPros na terça-feira. Não possui um identificador oficial. O problema foi resolvido nas seguintes versões - “Se o seu servidor não estiver executando uma versão suportada do cPanel que seja elegível para esta atualização, é altamente recomendável que você trabalhe para atualizar seu servidor o mais rápido possível, pois ele também pode ser afetado”, observou cPanel. Embora o cPanel não tenha compartilhado nenhum detalhe sobre a vulnerabilidade, a empresa de hospedagem na web e registro de domínio Namecheap revelou que ela “se relaciona a uma exploração de login de autenticação que pode permitir acesso não autorizado ao painel de controle”. Como medida de precaução, a empresa aplicou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, uma medida que, segundo ela, restringirá temporariamente o acesso dos clientes às suas interfaces cPanel e WHM até que um patch completo seja aplicado. “Nossa equipe está monitorando ativamente a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível”, observou Namecheap. "O acesso aos seus painéis de controle será restaurado imediatamente assim que o patch for implantado com sucesso." A partir de 29 de abril de 2026, 02h42 UTC, a correção foi aplicada ao revendedor, aos servidores Stellar Business e ao restante, de acordo com a equipe de suporte da Namecheap.
A vulnerabilidade de desvio de autenticação recebeu o identificador CVECVE-2026-41940 e carrega uma pontuação CVSS de 9,8 em 10,0. Em uma atualização de seu comunicado, cPanelsaidpatches também foram enviados para WP Squared versão 136.1.7. “As versões cPanel e WHM após 11.40 contêm uma vulnerabilidade de desvio de autenticação no fluxo de login que permite que invasores remotos não autenticados obtenham acesso não autorizado ao painel de controle”, de acordo com uma descrição da falha no National Vulnerability Database (NVD) do NIST. O cPanel também pediu aos clientes que executem as seguintes ações - Como mitigações até que um patch possa ser aplicado, a empresa está sugerindo as seguintes etapas - Relatórios no Reddit indicam que a vulnerabilidade está sob exploração ativa como um dia zero, com o CEO da KnownHost, Daniel Pearson, observando que "isso foi absolutamente usado em estado selvagem e foi visto pelo menos nos últimos 30 dias, se não mais". O Hacker News entrou em contato com o cPanel para obter mais informações e atualizaremos a história se recebermos resposta. O cPanel lançou um script de detecção para procurar indicadores de comprometimento - “O comprometimento do cPanel é materialmente diferente do comprometimento de um site de um único cliente. O WHM concede acesso administrativo root ao servidor”, disse Hadrian. “Um invasor com esse acesso pode ler todas as contas de hospedagem de clientes, modificar arquivos e bancos de dados, criar contas backdoor, instalar malware, roubar credenciais e entrar nas redes dos clientes”.
Em uma postagem compartilhada no LinkedIn, a Eye Security disse que identificou mais de 2 milhões de instâncias do cPanel conectadas à Internet, embora atualmente não se saiba quantas delas têm atualização automática habilitada e são vulneráveis à falha. watchTowr Labs, que publicou detalhes técnicos adicionais sobre a falha, disse que inconsistências no fluxo de autenticação do cPanel podem ser exploradas por atores adicionais para ignorar verificações de login e acessar contas. Em seu próprio aviso sobre a vulnerabilidade, Rapid7 disse que CVE-2026-41940 é causado por uma injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão do cPanel e WHM, permitindo que um invasor obtenha acesso administrativo não autorizado aos sistemas afetados - Antes que a autenticação ocorra, o `cpsrvd` (o daemon de serviço cPanel) grava um novo arquivo de sessão no disco. A vulnerabilidade permite que um invasor manipule o cookie `whomgrsession` omitindo um segmento esperado do valor do cookie, evitando a criptografia no processo normalmente aplicado a um valor fornecido pelo invasor. Os invasores podem injetar caracteres `\r\n` brutos por meio de um cabeçalho de autorização básico malicioso e, posteriormente, o sistema grava o arquivo da sessão sem limpar os dados. Como resultado, o invasor pode inserir propriedades arbitrárias, como `user=root`, em seu arquivo de sessão. Depois de acionar o recarregamento da sessão a partir do arquivo, o invasor estabelece acesso de nível de administrador para seu token. “Vamos chamar isso do que é: um desvio de autenticação não autenticado em cPanel e WHM, uma solução de plano de gerenciamento implantada em dezenas de milhares de servidores e situada na frente de uma parte significativa da Internet”, disse Benjamin Harris, CEO e fundador da watchTowr, ao The Hacker News.
“Poucas horas após a queda do aviso, quase todos os principais provedores de hospedagem do planeta haviam protegido seus próprios clientes de seus próprios produtos. hosting.com, Namecheap, KnownHost, HostPapa, InMotion e o resto, todos puxaram o freio de emergência porque a alternativa era assistir toda a sua base de clientes ser propriedade em tempo real. O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA a adicionar o CVE-2026-41940 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem os patches até 3 de maio de 2026. Aprenda como impedir ataques de paciente zero antes que eles contornem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor – tudo gratuitamente.