Segui 
Una nuova vulnerabilità CVE-2026-41940 divulgata in cPanel & WHM ha messo sotto urgente attenzione le infrastrutture di hosting esposte a internet. Il difetto ha un punteggio CVSS di 9.8 e può permettere a un attaccante remoto non autenticato di bypassare l’autenticazione e ottenere accesso amministrativo, mentre l’avviso di cPanel indica che il problema interessa il software cPanel, incluso DNSOnly, su tutte le versioni successive alla 11.40.
Per i difensori, il rilevamento di CVE-2026-41940 dovrebbe concentrarsi su istanze di pannello di controllo esposte, convalida di patch di emergenza e triage dei file di sessione piuttosto che sulla caccia ai malware. Il fornitore di hosting KnownHost ha dichiarato che il difetto è stato sfruttato attivamente in natura, e che un’analisi tecnica pubblica e codice di exploit erano già stati rilasciati da watchTowr, aumentando la probabilità di un abuso opportunistico più ampio.
Il rischio aziendale è considerevole perché uno sfruttamento riuscito può consentire agli attaccanti il controllo sull’host cPanel, sulle sue configurazioni e database e sui siti web che gestisce. Una semplice query Shodan ha restituito circa 1,5 milioni di istanze cPanel esposte, sottolineando quanto può essere disponibile la superficie d’attacco sia per attività di scansione mirata sia di massa.
Analisi di CVE-2026-41940
Il bug è descritto come un bypass dell’autenticazione radicato in un’iniezione CRLF durante il processo di login e caricamento delle sessioni in cPanel & WHM. Secondo la sua panoramica tecnica, cpsrvd scrive un nuovo file di sessione su disco prima che l’autenticazione sia completata, e un attaccante può manipolare il cookie whostmgrsession in modo che i valori controllati dall’attaccante evitino il percorso di crittografia previsto e vengano scritti nel file di sessione non sanificati.
In termini pratici, la vulnerabilità in CVE-2026-41940 consente a un attaccante di iniettare proprietà arbitrarie come user=root in un file di sessione, quindi attivare un ricaricamento in modo che l’applicazione tratti la sessione come amministrativa. Per questo motivo questo problema è particolarmente pericoloso per ambienti di hosting condiviso e operatori di server: non è semplicemente un bug di login ma una via per ottenere il controllo privilegiato del piano di gestione stesso.
A differenza di un dropper di malware, il payload di CVE-2026-41940 è una richiesta di autenticazione formulata che sfrutta l’iniezione di newline e valori di sessione malformati per avvelenare i dati di sessione pre-auth. Un poc pubblico per CVE-2026-41940 era già disponibile attraverso una ricerca di terze parti.
I dettagli ufficiali per CVE-2026-41940 sono più ampi rispetto ai soli meccanismi dell’exploit. cPanel afferma che il problema riguarda il software cPanel, inclusi DNSOnly, mentre le build patchate sono state rilasciate per 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 e 11.136.0.5, insieme a WP Squared 136.1.7. TheCyberExpress ha anche evidenziato che gli amministratori devono verificare la versione installata e riavviare cpsrvd dopo l’aggiornamento.
Altrettanto importante, CVE-2026-41940 non colpisce solo i sistemi cPanel & WHM esposti direttamente, ma anche i flussi di lavoro operativi che dipendono da build fisse o aggiornamenti automatici disabilitati. Questo è importante perché cPanel ha avvertito che tali server non si aggiorneranno automaticamente e dovranno essere riparati manualmente come priorità, mentre le versioni non supportate possono rimanere esposte fino a quando le organizzazioni non passeranno a piste di rilascio supportate.
Mitigazione di CVE-2026-41940
La guida principale del fornitore è semplice: aggiornare immediatamente a una delle versioni corrette usando /scripts/upcp –force, confermare la build installata con /usr/local/cpanel/cpanel -V, e riavviare il servizio con /scripts/restartsrv_cpsrvd. cPanel afferma inoltre che gli amministratori dovrebbero identificare manualmente i sistemi in cui gli aggiornamenti sono disabilitati o il pinning della versione impedisce la correzione automatica.
Quando la patch non può essere applicata immediatamente, cPanel consiglia passi di contenimento temporaneo che includono il blocco del traffico in entrata sui porti 2083, 2087, 2095 e 2096 al firewall o interrompere cpsrvd and cpdavd. TheCyberExpress ha ribadito lo stesso consiglio a breve termine e ha osservato che alcuni fornitori hanno limitato l’accesso al pannello mentre era in corso il rollout delle patch.
Per rilevare CVE-2026-41940, i difensori dovrebbero utilizzare lo script di rilevamento basato su filesystem del venditore e rivedere le voci sospette in /var/cpanel/sessions. Lo script di cPanel cerca artefatti di sessione come token_denied che appaiono insieme con cp_security_token, attributi autenticati all’interno delle sessioni pre-auth, stati sospetti tfa_verified , e valori di password multilinea malformati. Quei controlli pubblicati agiscono efficacemente come ioc di CVE-2026-41940 per il triage post-sfruttamento.
Se lo script segnala una probabile compromissione, cPanel afferma che i difensori devono purgare le sessioni colpite, forzare il reset delle password per root e tutti gli utenti WHM, eseguire un audit dei /var/log/wtmp e dei log di accesso WHM, e cercare persistenza come voci cron, chiavi SSH o backdoor. In altre parole, la mitigazione di CVE-2026-41940 dovrebbe essere gestita sia come patch che come risposta agli incidenti, non solo come un aggiornamento di versione di routine. Quando la patch non può essere applicata immediatamente, cPanel consiglia passi di contenimento temporaneo che includono il blocco del traffico in entrata sui porti 2083, 2087, 2095, 2096 e le porte http 2082, 2086 al firewall.
FAQ
Cos’è CVE-2026-41940 e come funziona?
È un grave difetto di bypass dell’autenticazione in cPanel & WHM che deriva dalla gestione delle sessioni e dall’iniezione di CRLF nel flusso di login/caricamento sessioni. Gli attaccanti possono manipolare i dati di sessione pre-auth e infine creare un accesso a livello di amministratore senza credenziali valide.
Quando è stato scoperto per la prima volta CVE-2026-41940?
La data di scoperta privata non è stata divulgata pubblicamente nelle fonti esaminate. Pubblicamente, cPanel ha riconosciuto il problema in un avviso di sicurezza pubblicato il 28 aprile 2026.
Qual è l’impatto di CVE-2026-41940 sui sistemi?
Uno sfruttamento riuscito può dare a un attaccante non autenticato l’accesso amministrativo a cPanel & WHM, che può tradursi nel controllo sul sistema host, configurazioni, database e siti web ospitati. In ambienti di hosting condiviso, ciò può trasformare una compromissione del pannello in una compromissione completa della piattaforma.
CVE-2026-41940 può ancora colpirmi nel 2026?
Sì. Qualsiasi sistema esposto che non è stato aggiornato a una build corretta può ancora essere a rischio nel 2026, soprattutto se gli aggiornamenti automatici sono disabilitati, il server è fissato a una versione vulnerabile o sta eseguendo una release non supportata che non è ancora stata spostata su un ramo supportato patchato.
Come posso proteggermi da CVE-2026-41940?
Applicare immediatamente la build patchata del venditore, riavviare cpsrvd, eseguire lo script di rilevamento contro /var/cpanel/sessions, rivedere gli artefatti di sessione sospetti e trattare qualsiasi segnalazione confermata come una possibile compromissione che richiede la purga delle sessioni, il reset delle password e la revisione dei log. Restrizioni firewall a breve termine possono ridurre l’esposizione, ma cPanel chiarisce che la priorità è patchare.
