Стежити 
Нововиявлена вразливість CVE-2026-41940 у cPanel & WHM піддала інфраструктуру хостингу, що має доступ до інтернету, терміновій перевірці. Цей недолік має оцінку CVSS 9.8 і може дозволити неавтентифікованому віддаленому зловмиснику обійти автентифікацію та отримати адміністративний доступ, у той час як у консультації cPanel сказано, що проблема стосується програмного забезпечення cPanel, включаючи DNSOnly, у всіх версіях після 11.40.
Для захисників виявлення CVE-2026-41940 має зосередитися на уразливих інстанціях панелі керування, підтвердженні термінових виправлень і триажі файлів сесій, а не на полюванні на шкідливі програми. Хостинг-провайдер KnownHost повідомив, що цю уразливість активно експлуатують у природі, і що публічний технічний аналіз і код експлойту вже були опубліковані watchTowr, що збільшує ймовірність ширшого опортуністичного зловживання.
Бізнес-ризик є значним, оскільки успішна експлуатація може надати зловмисникам контроль над хостом cPanel, його конфігураціями та базами даних, а також над веб-сайтами, якими він керує. Проста запит в Shodan повернула приблизно 1,5 мільйона відкритих інстанцій cPanel, що підкреслює, скільки поверхні для атак може бути доступно як для цілеспрямованої, так і для масової активності сканування.
Аналіз CVE-2026-41940
Вразливість описується як обхід аутентифікації, що обумовлений впровадженням CRLF під час процесу входу та завантаження сесії в cPanel & WHM. За технічним оглядом cpsrvd записує новий файл сесії на диск до завершення аутентифікації, і зловмисник може маніпулювати cookie whostmgrsession так, щоб значення, контрольовані зловмисником, уникали очікуваного шляху шифрування і записувалися в файл сесії без санітарізації.
На практиці вразливість у CVE-2026-41940 дозволяє зловмиснику вставляти довільні властивості, такі як user=root до файлу сесії, а потім викликати перезавантаження, щоб програма розглядала сесію як адміністративну. Саме тому ця проблема особливо небезпечна для середовищ загального хостингу та операторів серверів: це не просто помилка входу, а шлях до привілейованого контролю над управлінською площиною.
На відміну від шкідливого завантажувача, корисне навантаження CVE-2026-41940 є створеним запитом автентифікації, який зловживає впровадженням нових рядків і неправильними значеннями сесій для отруєння даних попередньої аутентифікації сесії. Загальнодоступний CVE-2026-41940 уже доступний через сторонні дослідження.
Офіційні деталі для CVE-2026-41940 ширші, ніж просто механіка експлойту. cPanel каже, що проблема стосується програмного забезпечення cPanel, включаючи DNSOnly, тоді як виправлені збірки були випущені для версій 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 і 11.136.0.5, разом з WP Squared 136.1.7. TheCyberExpress також підкреслив, що адміністратори повинні перевірити встановлену версію і перезапустити cpsrvd після оновлення.
Що не менш важливо, CVE-2026-41940 вражає не лише безпосередньо відкриті системи cPanel & WHM, але й операційні робочі процеси, що покладаються на фіксовані збірки або на відключення автоматичних оновлень. Це має значення, оскільки cPanel попередила, що такі сервери не будуть автоматично оновлюватися та повинні бути вручну виправлені в пріоритетному порядку, тоді як невизнані версії також можуть залишатися відкритими, доки організації не перейдуть на підтримувані треки релізів.
Зниження CVE-2026-41940
Основне керівництво постачальника є простим: негайно оновитися до однієї з виправлених версій за допомогою /scripts/upcp –force, підтвердити встановлену збірку за допомогою /usr/local/cpanel/cpanel -V, і перезавантажити службу за допомогою /scripts/restartsrv_cpsrvd. cPanel також рекомендує адміністраторам вручну ідентифікувати системи, де оновлення вимкнені або прив’язка версії перешкоджає автоматичному усуненню.
Коли виправлення не може бути виконано негайно, cPanel рекомендує тимчасові заходи обмеження, які включають блокування вхідного трафіку на портах 2083, 2087, 2095, 2096 на брандмауері або зупинку cpsrvd and cpdavd. TheCyberExpress підтвердив ті ж поради короткотерміново і відзначив, що деякі провайдери обмежили доступ до панелі, поки більш широке впровадження виправлень продовжувалося.
Для виявлення CVE-2026-41940 захисники повинні використовувати скрипт виявлення на основі файлової системи постачальника та переглянути підозрілі записи в /var/cpanel/sessions. Скрипт cPanel шукає артефакти сесії, такі як token_denied з’являються разом з cp_security_token, аутентифіковані атрибути всередині премоделюваних сесій, підозрілі tfa_verified стани, а також неправильні багаторядкові значення паролів. Ці опубліковані перевірки ефективно діють як індикатори iocs для постексплуатаційного триажу CVE-2026-41940.
Якщо скрипт сигналізує про можливий компроміс, cPanel каже, що захисники повинні очистити уражені сесії, примусово скинути паролі для root та всіх користувачів WHM, перевірити /var/log/wtmp і журнали доступу WHM, а також шукати сталість, таку як записи cron, ключі SSH або закладки. Інакше кажучи, зменшення CVE-2026-41940 слід розглядати як патчинг та реакцію на інцидент, а не просто як рутинне оновлення версії. Коли виправлення не може бути виконано негайно, cPanel рекомендує тимчасові заходи обмеження, які включають блокування вхідного трафіку на портах 2083, 2087, 2095, 2096 та http-портах 2082, 2086 на брандмауері.
FAQ
Що таке CVE-2026-41940 та як це працює?
Це критична вразливість обходу аутентифікації в cPanel & WHM, що виходить з обробки сесій і CRLF-впровадження у потоці входу/завантаження сесій. Зловмисники можуть маніпулювати даними сесії до аутентифікації та у кінцевому підсумку створити доступ на рівні адміністратора без дійсних облікових даних.
Коли CVE-2026-41940 було вперше виявлено?
Дата приватного виявлення не була публічно розкрита у переглянутих джерелах. Публічно cPanel визнала цю проблему у консультативній записці до безпеки, опублікованій 28 квітня 2026 року.
Який вплив має CVE-2026-41940 на системи?
Успішна експлуатація може надати неавтентифікованому зловмиснику адміністративний доступ до cPanel & WHM, що може перетворитися на контроль над системою хоста, конфігураціями, базами даних і розміщеними веб-сайтами. У середовищах загального хостингу це може перетворити компрометацію панелі на повну компрометацію платформи.
Чи може CVE-2026-41940 все ще впливати на мене в 2026 році?
Так. Будь-яка відкрита система, яку не було оновлено до виправленої збірки, все ще може бути під загрозою у 2026 році, особливо якщо автоматичні оновлення відключені, сервер зафіксований на вразливій версії або він працює на непідтримуваній версії, яка ще не була переведена на підтримувану галузку з виправленнями.
Як я можу захистити себе від CVE-2026-41940?
Негайно застосуйте виправлену збірку постачальника, перезавантажте cpsrvd, запустіть скрипт виявлення проти /var/cpanel/sessions, перегляньте підозрілі артефакти сесій і розгляньте будь-яке підтверджене спіткання як можливу компрометацію, що вимагає очищення сесій, скидання паролів та перегляду журналів. Короткострокові обмеження брандмауера можуть зменшити вплив, але cPanel чітко заявляє, що патчинг є пріоритетом.
