팔로우 
새롭게 공개된 CVE-2026-41940 취약점이 cPanel & WHM에서 인터넷 노출 호스팅 인프라를 긴급하게 주목해야 할 대상으로 만들었습니다. 이 결함은 CVSS 점수가 9.8로, 인증되지 않은 원격 공격자가 인증을 우회하고 관리자 접근 권한을 얻을 수 있게 합니다. cPanel의 권고안에 따르면 이 문제는 모든 11.40 이후 버전의 DNSOnly를 포함한 cPanel 소프트웨어에 영향을 미칩니다.
방어자들에게 CVE-2026-41940 감지는 악성코드 사냥보다는 노출된 제어 패널 인스턴스, 긴급 패치 검증, 세션 파일 분류에 집중해야 합니다. 호스팅 제공업체 KnownHost는 이 결함이 실제로 악용되고 있으며, watchTowr에서 공개한 기술 분석 및 익스플로잇 코드가 이미 배포되어 무차별적인 오용 가능성을 높인다고 밝혔습니다.
성공적인 익스플로잇이 공격자에게 cPanel 호스트, 그 구성 및 데이터베이스 및 관리되는 웹사이트에 대한 제어권을 부여할 수 있으므로 비즈니스 위험이 큽니다. 단순한 Shodan 쿼리는 대략 150만 개의 노출된 cPanel 인스턴스를 반환하여 대상 및 대량 스캔 활동에 사용할 수 있는 공격 표면이 얼마나 많은지 강조했습니다.
CVE-2026-41940 분석
이 버그는 로그인 및 세션 로딩 과정에서 CRLF 삽입을 통해 인증 우회를 설명합니다. 기술 개요에 따르면, cpsrvd 는 인증이 완료되기 전에 디스크에 새로운 세션 파일을 작성하며, 공격자는 whostmgrsession 쿠키를 조작하여 공격자 제어 값이 예상되는 암호화 경로를 피하고 비정상적으로 세션 파일에 기록되도록 할 수 있습니다.
실질적인 측면에서, CVE-2026-41940의 취약성은 공격자가 user=root 과 같은 임의 속성을 세션 파일에 주입하고, 애플리케이션이 세션을 관리자로 간주하도록 재로드를 트리거할 수 있게 합니다. 이것이 셰어드 호스팅 환경 및 서버 운영자에게 특히 위험한 이유입니다. 단순한 로그인 버그 이상으로 관리 평면 자체에 대한 특권적 제어 경로입니다.
악성코드 드로퍼와 달리, CVE-2026-41940 페이로드는 인증 요청을 조작하여 새 라인 삽입 및 잘못된 세션 값을 악용해 사전 인증 세션 데이터를 오염시키는 것입니다. 제3자 연구를 통해 공개된 CVE-2026-41940 poc는 이미 이용 가능합니다.
CVE-2026-41940에 대한 공식 세부 사항은 단순한 익스플로잇 메커니즘 이상입니다. cPanel은 이 문제가 DNSOnly를 포함한 cPanel 소프트웨어에 영향을 미치며, 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20, 11.136.0.5 및 WP Squared 136.1.7에 대한 패치 빌드가 발행되었다고 말했습니다. TheCyberExpress는 또한 관리자가 설치된 버전을 확인하고 업데이트 후 재시작해야 한다고 강조했습니다. cpsrvd 업데이트 후.
마찬가지로, CVE-2026-41940는 직접 노출된 cPanel & WHM 시스템뿐만 아니라 고정 빌드 또는 자동 업데이트가 비활성화된 운영 워크플로우에도 영향을 미칩니다. 이는 cPanel이 경고한 바와 같이 그러한 서버는 자동 업데이트가 되지 않고 수동으로 수정되어야 하며, 지원되지 않는 버전 역시 지원되는 릴리스 트랙으로 이동할 때까지 노출될 수 있기 때문입니다.
CVE-2026-41940 완화
벤더의 기본 지침은 간단합니다: /scripts/upcp –force를 사용하여 즉시 수정된 버전으로 업데이트하고 /usr/local/cpanel/cpanel -V와 함께 설치된 빌드를 확인하고 /scripts/restartsrv_cpsrvd로 서비스를 재시작하십시오. 또한, cPanel은 관리자가 업데이트가 비활성화된 시스템이나 버전 핀이 자동 수정에 방해되는 시스템을 수동으로 식별해야 한다고 말했습니다.
즉시 패칭이 불가능할 경우, cPanel은 방화벽에서 2083, 2087, 2095, 2096 포트의 인바운드 트래픽 차단 또는 cpsrvd and cpdavd를 중지하는 등의 임시 격리 조치를 권장합니다. TheCyberExpress는 같은 단기 조언을 반복하고 있으며 일부 제공자가 보다 광범위한 패치 배포 중에 패널 접근을 제한했다고 언급했습니다.
CVE-2026-41940를 감지하기 위해, 방어자는 벤더의 파일 시스템 기반 탐지 스크립트를 사용하고 /var/cpanel/sessions아래의 의심스러운 항목을 검토해야 합니다. cPanel의 스크립트는 token_denied 와 함께 나타나는 세션 아티팩트를 찾고, 사전 인증 세션 내의 인증된 속성, 의심스러운 cp_security_token속성 및 잘못된 다중 라인 비밀번호 값을 확인합니다. 이 게시된 검사들은 효과적으로 CVE-2026-41940 ioc로 작용하여 사후 익스플로잇 분류를 지원합니다. tfa_verified 상태와 잘못된 여러 줄 비밀번호 값에 주의를 기울여야 합니다. 이러한 게시된 검사가 사후 익스플로잇 분류에 CVE-2026-41940 ioc로 효과적으로 작용합니다.
스크립트가 잠재적 침해를 경고하면, cPanel은 방어자가 영향을 받은 세션을 정리하고, 모든 WHM 사용자와 루트의 비밀번호를 강제로 재설정하며 /var/log/wtmp 와 WHM 접근 로그를 감사하고, 크론 항목, SSH 키 또는 백도어와 같은 지속성을 찾을 것을 권장합니다. 다른 말로, CVE-2026-41940 완화는 단순한 패치뿐만 아니라 사건 대응으로 처리해야 하며, 단순한 버전 업그레이드로 처리해서는 안 됩니다. 즉시 패칭이 불가능할 경우, cPanel은 방화벽에서 2083, 2087, 2095, 2096 포트 및 http 2082, 2086 포트를 차단하는 임시 격리 조치를 권장합니다.
FAQ
CVE-2026-41940란 무엇이며, 어떻게 작동합니까?
cPanel & WHM의 세션 처리와 로그인/세션 로딩 흐름에서의 CRLF 삽입에 뿌리를 둔 중요한 인증 우회 결함입니다. 공격자는 사전 인증 세션 데이터를 조작하여 궁극적으로 유효한 자격 증명 없이 관리자 수준의 접근을 생성할 수 있습니다.
CVE-2026-41940는 언제 처음 발견되었습니까?
검토된 소스에서는 비공개 발견 날짜가 공개되지 않았습니다. 공개적으로는, cPanel이 2026년 4월 28일에 보안 권고문을 통해 문제를 인정했습니다.
CVE-2026-41940가 시스템에 미치는 영향은 무엇입니까?
성공적인 익스플로잇은 인증되지 않은 공격자에게 cPanel & WHM에 대한 관리자 접근을 부여할 수 있으며, 이는 호스트 시스템, 구성, 데이터베이스 및 호스팅된 웹사이트에 대한 제어로 전환될 수 있습니다. 셰어드 호스팅 환경에서는 패널 침해를 전체 플랫폼 침해로 전환할 수 있습니다.
2026년에 CVE-2026-41940가 여전히 저에게 영향을 미칠 수 있습니까?
예. 수정된 빌드로 업데이트되지 않은 모든 노출된 시스템은 특히 자동 업데이트가 비활성화된 경우, 서버가 취약한 버전에 고정되어 있거나 지원되지 않는 릴리즈를 실행 중일 경우 2026년에도 여전히 위험에 노출될 수 있습니다.
CVE-2026-41940로부터 저를 어떻게 보호할 수 있습니까?
즉시 벤더의 패치된 빌드를 적용하고, 서비스 재시작 cpsrvd하고 탐지 스크립트를 실행하여 /var/cpanel/sessions에 대한 의심스러운 세션 아티팩트를 검토하며, 확인된 모든 적중을 세션 정리, 비밀번호 재설정, 로그 검토를 요구하는 잠재적인 침해로 처리하십시오. 단기 방화벽 제한은 노출을 줄일 수 있지만, cPanel이 명확히 한 바와 같이 패칭이 우선입니다.
