В Банке данных угроз безопасности информации (BDU) зарегистрирована уязвимость с идентификатором BDU:2026-06279, которая затрагивает три популярных продукта компании cPanel Inc. Речь идёт о панели управления веб-хостингом cPanel, панели администрирования серверов WebHost Manager (WHM) и модуле для управления хостингом WordPress Squared. Уязвимость получила идентификатор CVE-2026-41940 и уже внесена в каталог известных эксплуатируемых уязвимостей CISA. Почему это событие заслуживает пристального внимания? Потому что проблема касается сотен тысяч серверов по всему миру, на которых работают эти панели. Атака может привести к полной компрометации системы без каких-либо учётных данных.
Детали уязвимости
В чём суть ошибки? Классификация CWE-306 указывает на отсутствие аутентификации для критичной функции. Иными словами, злоумышленник, действующий удалённо, может обратиться к одной из важных функций панели, которая не требует проверки подлинности пользователя. Этого достаточно, чтобы обойти механизмы безопасности и выполнить произвольный код на сервере. Базовый вектор по шкале CVSS версии 3.1 составляет 9,8 балла из десяти возможных. Это критический уровень опасности. По версии CVSS 2.0 оценка достигает десяти баллов. Такие показатели означают, что уязвимость не требует специальных привилегий, не нуждается во взаимодействии с жертвой и может быть использована из любой точки сети.
Список затронутых версий включает практически все выпуски cPanel начиная с 11.86.0.41 и заканчивая 11.136.0.5. Аналогичный диапазон версий для WebHost Manager: от 11.86.0.41 до 11.136.0.5. Что касается модуля WordPress Squared, то под угрозой находятся сборки до версии 136.1.7 включительно. Производитель уже выпустил исправления, которые устраняют уязвимость. Соответствующее обновление опубликовано на портале поддержки cPanel. Однако проблема в том, что эксплойт для данной уязвимости уже существует в открытом доступе. Это подтверждается и записью в каталоге CISA, и публичным кодом на GitHub, размещённым исследовательской командой WatchTowr Labs.
Важно понимать, чем грозит такая уязвимость на практике. cPanel и WebHost Manager используют хостинг-провайдеры для управления тысячами сайтов. WordPress Squared, в свою очередь, упрощает администрирование множества установок WordPress. Обход аутентификации и выполнение произвольного кода означают, что атакующий может получить полный контроль над панелью управления. После этого он способен изменять настройки сервера, загружать вредоносные файлы, красть базы данных клиентов, а также использовать захваченный сервер для дальнейших атак. В худшем случае злоумышленник может установить программы-вымогатели, которые зашифруют данные всех сайтов, размещённых на этом сервере. Учитывая, что хостинг-провайдеры обслуживают тысячи клиентов, ущерб может быть колоссальным.
С технической точки зрения уязвимость относится к классу ошибок архитектуры. Это значит, что проблема заложена не в поверхностной ошибке кода, а в самом подходе к проектированию критичных функций. Разработчики не предусмотрели обязательную проверку прав доступа для какой-то операции, которая по логике должна быть защищена. Вектор атаки прост: нарушителю достаточно отправить специально сформированный сетевой запрос к уязвимому компоненту. После успешного обхода аутентификации он может внедрить полезную нагрузку, которая выполнится на сервере с привилегиями самой панели. Обычно панели работают от имени суперпользователя или с расширенными правами, поэтому последствия могут быть катастрофическими.
Необходимо проверить версию cPanel или WHM через панель управления. Для этого зайдите в раздел информации о версии. Если ваша сборка ниже указанных в бюллетене версий, срочно требуется обновление. Для WordPress Squared аналогично: модуль необходимо обновить до версии 136.1.7 или новее. Производитель рекомендует установить исправление, выпущенное 28 апреля 2026 года. Ссылка на инструкцию по обновлению приведена в официальном уведомлении о безопасности CVE-2026-41940.
Какие меры могли бы предотвратить эксплуатацию? В идеале администраторам стоит ограничить доступ к панелям управления по IP-адресам, использовать межсетевые экраны, а также включить двухфакторную аутентификацию, если она поддерживается. Однако сейчас главное - как можно быстрее установить патч. Наличие публичного эксплойта резко увеличивает риск атаки. Уже сейчас злоумышленники могут сканировать интернет на предмет уязвимых серверов и применять готовый код для взлома.
Кроме того, рекомендуется проверить логи серверов на предмет подозрительных попыток доступа к критичным функциям. Аномальные запросы, особенно от неизвестных адресов, могут указывать на попытку эксплуатации. Если система уже могла быть скомпрометирована, следует провести полный аудит безопасности, сменить все пароли, проверить целостность файлов и убедиться в отсутствии закрепления в системе.
Подводя итог, можно сказать, что данная уязвимость представляет собой серьёзную угрозу для всей индустрии веб-хостинга. Критический уровень опасности, простота эксплуатации и наличие готового инструментария делают её одной из наиболее опасных в текущем году. Администраторам не стоит откладывать обновление даже на несколько часов. Каждый день промедления увеличивает вероятность того, что сервер станет жертвой атаки. Компания cPanel уже выполнила свою работу, выпустив исправление.
Ссылки
- https://bdu.fstec.ru/vul/2026-06279
- https://www.cve.org/CVERecord?id=CVE-2026-41940
- https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-41940
- https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py
