В хостинговой индустрии разворачивается серьёзный кризис безопасности. Специалисты по кибербезопасности зафиксировали активную эксплуатацию критической уязвимости, которой присвоен идентификатор CVE-2026-41940. Этот дефект затрагивает популярные панели управления веб-хостингом cPanel и WHM (Web Host Manager) - инструменты, используемые тысячами провайдеров по всему миру для управления серверами и аккаунтами клиентов. Уязвимость получила максимальную оценку по шкале CVSS в 9,8 балла из 10, что говорит о её крайне высокой опасности.
Уязвимость CVE-2026-41940
Суть проблемы заключается в том, что злоумышленник, не имеющий аутентификации, может полностью обойти механизмы входа в cPanel и WHM. Атака происходит благодаря так называемой CRLF-инъекции (внедрение символов возврата каретки и перевода строки) в процессе загрузки и сохранения сессий. Как это работает? Злоумышленник внедряет вредоносный токен безопасности в предварительно созданную сессию, которая ещё не прошла проверку паролем. В результате стандартная процедура валидации логина и пароля полностью игнорируется. Поскольку для атаки не требуется никаких действий со стороны пользователя или администратора, злоумышленники могут легко автоматизировать процесс и атаковать панели управления, доступные из интернета.
Ситуация резко обострилась после того, как компания watchTowr Labs опубликовала готовый эксплойт, реализующий удалённое выполнение кода (Remote Code Execution). Этот эксплойт - по сути, готовый скрипт - создаёт сессию до аутентификации и манипулирует функцией do_token_denied, чтобы извлечь токены root-доступа. В результате атакующий получает полный контроль над сервером. Как следствие, многие хостинг-провайдеры по всему миру были вынуждены в экстренном порядке заблокировать порты панелей управления, чтобы защитить данные клиентов.
Какие риски несёт эта уязвимость? После успешной эксплуатации злоумышленник может изменять конфигурации сервера, получать доступ к базам данных и почтовым ящикам, размещённым на сервере. Такой уровень доступа позволяет развернуть программы-вымогатели (ransomware), похитить конфиденциальные данные клиентов или использовать скомпрометированные серверы для дальнейших атак на другие цели. Важно отметить, что уязвимыми являются не только последние версии cPanel, но и все поддерживаемые на данный момент сборки. Более того, серверы, на которых используются устаревшие или неподдерживаемые версии, также находятся в зоне риска - они могут быть захвачены полностью.
Какие версии уязвимы и как это исправить?
Проблема затронула все актуальные ветки cPanel и WHM, а также продукт WP Squared. Разработчики уже выпустили исправленные версии, и администраторам необходимо как можно скорее обновить своё программное обеспечение. Если вы используете cPanel и WHM версии 110, обновляйтесь до 11.110.0.97. Для ветки 118 - до 11.118.0.63, для 126 - до 11.126.0.54, для 132 - до 11.132.0.29, для 134 - до 11.134.0.20. Для WP Squared 136 безопасной версией является 136.1.7. Промедление с обновлением чревато серьёзными последствиями.
Как обнаружить признаки компрометации?
Специалистам по безопасности рекомендуется срочно проверить логи сессий на наличие подозрительных записей. Обратите внимание на значения паролей, содержащих многострочные данные, или неожиданные записи token_denied. Ещё один критический индикатор - обнаружение атрибута successful_external_auth_with_timestamp в сессии, не прошедшей аутентификацию. Это прямо указывает на несанкционированное повышение привилегий. Если такие артефакты найдены, необходимо немедленно очистить все активные сессии, принудительно сменить пароль root и провести аудит системы на предмет наличия механизмов закрепления, например бэкдоров. Злоумышленники могли оставить скрытые способы повторного доступа.
Практические рекомендации для администраторов
В первую очередь нужно выполнить скрипт обновления cPanel и перезапустить службу cpsrvd - это применит постоянное исправление от разработчика. Если по каким-то причинам патч временно применить невозможно, необходимо срочно настроить файрволы так, чтобы заблокировать входящий трафик на TCP-порты 2083, 2087, 2095 и 2096. Эти порты используются для доступа к панелям управления, и их блокировка предотвратит удалённое использование уязвимости. Дополнительно можно воспользоваться официальным скриптом обнаружения от cPanel, который анализирует каталог /var/cpanel/sessions на предмет внедрённых значений cp_security_token, оставленных атакующим.
Текущая ситуация напоминает о том, насколько опасными могут быть уязвимости в системах управления хостингом. Одна ошибка в коде позволяет злоумышленнику полностью контролировать сервер, не имея никаких учётных данных. Хостинг-провайдерам следует немедленно проверить версии своих панелей, провести аудит логов и принять меры, описанные выше. Игнорирование этой угрозы может привести к масштабной утечке данных и серьёзным финансовым потерям. Администраторам стоит напомнить, что даже если атака не была зафиксирована, это не означает, что сервер не скомпрометирован - злоумышленники часто стараются оставаться незамеченными. Поэтому важно действовать на опережение и не откладывать обновление.
Ссылки
- https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py
- https://www.cve.org/CVERecord?id=CVE-2026-41940
- https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
