フォローする 
新しく公開されたCVE-2026-41940の脆弱性がcPanel & WHMにおけるインターネット接続ホスティングインフラストラクチャを緊急の監視対象に置いています。この欠陥はCVSSスコア9.8を持ち、認証されていないリモート攻撃者が認証をバイパスし、管理者アクセスを得ることを可能にします。cPanelのアドバイザリーによれば、この問題はバージョン11.40以降の全てのcPanelソフトウェア、DNSOnlyを含むバージョンに影響を与えるとしています。
防御者にとって、CVE-2026-41940の検出はマルウェアの追跡よりも、公開されたコントロールパネルのインスタンス、緊急パッチの検証、セッションファイルのトリアージに焦点を当てるべきです。ホスティングプロバイダーのKnownHostによれば、この脆弱性は野放しにされており、watchTowrによって公開された技術的分析とエクスプロイトコードによって、より広範な機会主義的悪用の可能性が高まったとされています。
ビジネスリスクは大きく、成功したエクスプロイトは攻撃者にcPanelホスト、設定、データベース、及び管理するウェブサイトを制御する力を与える可能性があります。Shodanクエリによって約150万の公開されたcPanelインスタンスが確認され、ターゲットされたスキャンおよび大量スキャン活動に利用可能な攻撃面の大きさを強調しています。
CVE-2026-41940の分析
このバグは、cPanel & WHMのログインとセッションロードプロセス中のCRLFインジェクションに根ざした認証バイパスとして説明されています。その技術的概要によれば、 cpsrvd 認証が完了する前にディスクに新しいセッションファイルを書き込み、攻撃者は whostmgrsession クッキーを操作して、攻撃者管理の値が予想される暗号化パスを避け、セッションファイルに無消毒の状態で書き込まれるようにすることができます。
実際には、CVE-2026-41940の脆弱性により、 user=root のような任意のプロパティをセッションファイルに注入し、アプリケーションがセッションを管理者として処理するようにリロードをトリガーすることができます。そのため、この問題は共有ホスティング環境やサーバオペレーターにとって特に危険です。これは単なるログインバグではなく、管理プレーンそのものへの特権アクセスの道です。
マルウェアドロッパーとは異なり、CVE-2026-41940のペイロードは、改行インジェクションや不正なセッション値を悪用してプレアウスセッションデータを汚染する巧妙な認証リクエストです。公開されたCVE-2026-41940のPOCはすでに第三者研究を通じて利用可能です。
CVE-2026-41940の公式詳細は、単なるエクスプロイトメカニクスだけでなくより広範です。cPanelは、この問題がDNSOnlyを含むcPanelソフトウェアに影響しながら、パッチ済みビルドは11.86.0.41、11.110.0.97、11.118.0.63、11.126.0.54、11.130.0.19、11.132.0.29、11.134.0.20、11.136.0.5、WP Squared 136.1.7に対して発行され、TheCyberExpressはまた管理者がインストールされているバージョンを確認し、更新後に cpsrvd 再起動する必要があることを強調しました。
同様に重要な点は、CVE-2026-41940は直接公開されているcPanel & WHMシステムだけでなく、固定ビルドや自動更新が無効になっている運用ワークフローにも影響を与えます。cPanelは、そのようなサーバーは自動的に更新されず、手動で優先的に修正される必要があると警告しています。また、サポートされないバージョンも、組織がサポートされるリリーストラックに移行するまで公開されたままになる可能性があります。
CVE-2026-41940の緩和
ベンダーの主なガイダンスは簡潔で、修正されたバージョンに即座に更新することです /scripts/upcp –force、インストール済みビルドを /usr/local/cpanel/cpanel -Vで確認し、サービスを再起動すること。 /scripts/restartsrv_cpsrvd。cPanelはまた、更新が無効化されている、またはバージョン固定が自動修正を防いでいるシステムを手動で識別する必要があるとしています。
パッチがすぐに適用できない場合、cPanelは一時的な封じ込め策としてファイアウォールでポート2083、2087、2095、2096の受信トラフィックをブロックするか、 cpsrvd and cpdavdを停止することを推奨しています。TheCyberExpressも同じ短期的なアドバイスを繰り返し、いくつかのプロバイダーが広範なパッチ展開中にパネルアクセスを制限したと指摘しました。
CVE-2026-41940を検出するには、防御者はベンダーのファイルシステムベースの検出スクリプトを使用し、 /var/cpanel/sessions配下の不審なエントリを確認する必要があります。cPanelのスクリプトは、 token_denied が一緒に出現するセッションアーティファクトを探します。 cp_security_token、プリオースセッション内の認証された属性、不審な tfa_verified 状態、不正な複数行のパスワード値。これらの公開されたチェックは、事後エクスプロイトのトリアージのためのCVE-2026-41940のiocとして効果的に機能します。
スクリプトが妥当な侵害を示す場合、cPanelは防御者が影響を受けたセッションを消去し、rootと全WHMユーザーのパスワードリセットを強制し、 /var/log/wtmp とWHMアクセスログを監査し、持続性(cronエントリ、SSHキー、またはバックドアなど)を探すべきだと言います。言い換えれば、CVE-2026-41940の緩和は、単なるパッチ適用としてだけでなく、インシデント対応の一部として対処すべきです。パッチがすぐに適用できない場合、cPanelはファイアウォールでポート2083、2087、2095、2096およびHTTPポート2082、2086の受信トラフィックをブロックすることを推奨しています。
FAQ
CVE-2026-41940とは何で、どのように機能するのでしょうか。
それはログイン/セッションロードフローでのセッション処理とCRLFインジェクションに起因する、根幹的なcPanel & WHMの認証バイパス欠陥です。攻撃者は、プレオースセッションデータを操作し、最終的に有効な資格情報なしに管理者レベルのアクセスを作成できます。
CVE-2026-41940はいつ初めて発見されましたか?
調査された情報源ではプライベートな発見日が公にされていません。公には、cPanelは2026年4月28日に公開されたセキュリティアドバイザリーでこの問題を認識しています。
CVE-2026-41940のシステムへの影響は何ですか?
成功したエクスプロイトは、未認証の攻撃者にcPanel & WHMへの管理アクセスを与えることができ、ホストシステム、構成、データベース、およびホストされているウェブサイトの制御につながる可能性があります。共有ホスティング環境では、パネルの侵害が完全なプラットフォームの侵害に変わる可能性があります。
2026年にCVE-2026-41940はまだ影響を与える可能성이ありますか?
はい。修正版に更新されていない公開されたシステムは、2026年でもリスクにさらされる可能性があります。特に、自動更新が無効になっている、サーバーが脆弱なバージョンに固定されている、またはまだサポートされているパッチ分岐に移行していないサポートされていないリリースを実行している場合です。
CVE-2026-41940から自分を守る方法は?
ベンダーの修正済みビルドをすぐに適用し、 cpsrvdを再起動し、検出スクリプトを /var/cpanel/sessionsに対して実行し、疑わしいセッションアーティファクトを確認し、確認されたヒットをセッション消去、パスワードリセット、ログレビューを必要とする可能性のある侵害として扱ってください。短期的なファイアウォール制限は露出を減らすことができますが、cPanelはパッチ適用が最優先であると明言しています。
