Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально подтвердило, что злоумышленники активно используют опасную уязвимость в продуктах WebPros cPanel, WebHost Manager (WHM) и плагине WordPress Squared (WP2). CISA внесла этот дефект в свой каталог известных эксплуатируемых уязвимостей (KEV, от англ. Known Exploited Vulnerabilities). Это означает, что атаки уже происходят в реальных условиях и представляют серьезную угрозу для сотен тысяч серверов по всему миру.
Уязвимость CVE-2026-41940
Проблема получила идентификатор CVE-2026-41940 и классифицируется как "отсутствие аутентификации для критической функции" - категория CWE-306. Иначе говоря, программное обеспечение не проверяет подлинность пользователя перед тем, как предоставить доступ к самым важным настройкам. Уязвимость скрывается в процессе входа в систему. Из-за грубой ошибки удаленный атакующий может полностью обойти стандартную процедуру логина. Ему не нужны ни имя пользователя, ни пароль - доступ к панели управления открывается напрямую.
WebHost Manager и cPanel - это фундаментальные инструменты для хостинг-провайдеров. Они позволяют управлять веб-серверами, создавать учетные записи клиентов, обслуживать базы данных и настраивать сайты. Получение несанкционированного доступа к таким панелям дает злоумышленнику практически безграничные административные полномочия над серверной средой. Попав внутрь, атакующий может изменить конфигурации сайтов, похитить конфиденциальные данные из баз или развернуть вредоносную полезную нагрузку на всех размещенных доменах.
Важно подчеркнуть, что уязвимость касается не только cPanel и WHM, но и плагина WordPress Squared (WP2). Этот продукт предназначен для управления сайтами на WordPress и, по данным CISA, также содержит критический дефект аутентификации. Таким образом, под удар попадают не только провайдеры хостинга, но и владельцы отдельных сайтов, использующих WP2.
На данный момент CISA отмечает, что неизвестно, применяется ли эта конкретная уязвимость в активных кампаниях программ-вымогателей (ransomware). Однако непосредственный риск серьезного взлома сети остается исключительно высоким. Почему? Потому что через скомпрометированную панель управления можно получить доступ ко всей инфраструктуре хостинга. А это, в свою очередь, открывает путь к данным тысяч клиентов.
Администраторы должны немедленно установить все исправления и защитные меры в соответствии с официальными инструкциями разработчика. Если организация использует облачные сервисы на базе упомянутых продуктов и не может применить обновления, CISA прямо советует полностью прекратить использование данного ПО до появления безопасного решения.
Причина столь категоричной рекомендации очевидна: обход аутентификации в панели управления хостингом - это не рядовая ошибка. Это дыра, через которую атакующий получает ключи от всего сервера. Задержка с исправлением может стоить компании репутации, клиентских данных и крупных финансовых потерь.
Следует отметить, что CISA добавляет уязвимости в каталог KEV только тогда, когда есть неопровержимые доказательства их активной эксплуатации. И хотя нет официальных данных о том, кто именно стоит за атаками, масштаб угрозы огромен. Любой публичный хостинг-провайдер, использующий cPanel или WHM, должен проверить свои системы прямо сейчас.
Подводя итог, подчеркнем главное: CVE-2026-41940 - это не потенциальная угроза, а реальная, действующая. Патчи уже выпущены. Ответственность за их установку лежит на администраторах. Промедление в данном случае равносильно приглашению злоумышленника в собственную инфраструктуру.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-41940
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2026-41940
- https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
- https://www.namecheap.com/status-updates/ongoing-critical-security-vulnerability-in-cpanel-april-28-2026
- https://www.vulncheck.com/advisories/cpanel-and-whm-authentication-bypass-via-login-flow
