В конце апреля 2026 года разработчики cPanel & WHM раскрыли информацию о критической уязвимости CVE-2026-41940, которая позволяет удалённому злоумышленнику обойти процесс входа в панель управления без учётных данных. Этот баг получил максимальную оценку по шкале CVSS - 9,8, и, по данным исследователей, его активная эксплуатация началась ещё до выхода патча. Следом, в первой и второй декадах мая, были закрыты ещё восемь уязвимостей, которые в совокупности создают множественные пути для атаки на серверы cPanel. Если ваша организация использует cPanel & WHM, особенно с доступом из интернета, необходимо немедленно установить обновления.
Детали уязвимостей
Уязвимость CVE-2026-41940 затрагивает все версии cPanel, начиная с 11.40. Она кроется в механизмах управления сессиями и аутентификации: специально сформированные запросы и манипуляции с куки-файлами могут заставить платформу принять атакующего за легитимного пользователя. При этом обходится даже многофакторная аутентификация, что открывает путь к полному административному доступу к среде хостинга. Атакующий получает возможность просматривать и изменять содержимое сайтов, базы данных, конфигурационные файлы, почтовые ящики и API-токены. Агентство кибербезопасности США CISA (Cybersecurity and Infrastructure Security Agency) уже добавило CVE-2026-41940 в свой каталог уязвимостей, которые активно используются в реальных атаках, что усиливает давление на организации с требованием быстрого устранения.
Майские обновления принесли патчи для целой серии дополнительных проблем. Так, 8 мая были закрыты CVE-2026-29201, CVE-2026-29202 и CVE-2026-29203. Первая уязвимость позволяла читать произвольные файлы на сервере из-за недостаточной проверки путей в вызове adminbin. Вторая представляла собой инъекцию кода на языке Perl в API-вызове create_user, связанном с параметром plugin. Третья - небезопасную обработку символьных ссылок, что могло привести к отказу в обслуживании и повышению привилегий. Затем, 13 мая, вышли патчи ещё для пяти уязвимостей: CVE-2026-29205, CVE-2026-29206, CVE-2026-32991, CVE-2026-32992 и CVE-2026-32993. Среди них - возможность чтения произвольных файлов через конечные точки cpdavd из-за некорректного сброса привилегий, SQL-инъекция в скрипте sqloptimizer, эскалация привилегий от низкоуровневого пользователя до владельца аккаунта, отсутствие полной проверки SSL-сертификатов в DNS-кластере (что позволяет перехватить учётные данные при атаке "человек посередине") и вставка произвольных HTTP-заголовков через неаутентифицированный эндпоинт в cpsrvd.
Для каждой из этих уязвимостей разработчик выпустил исправленные версии cPanel & WHM, начиная с определённых билдов. Все пользователи, включая тех, кто до сих пор работает на CentOS 6 или CloudLinux 6, могут обновиться через штатную команду "/scripts/upcp --force". Хостинг-провайдеры, такие как InMotion Hosting, уже начали автоматическую установку патчей для управляемых серверов, а владельцам самостоятельных VPS и выделенных серверов настоятельно рекомендуют запустить скрипт обновления вручную. После обновления стоит проверить установленную версию командой "/usr/local/cpanel/cpanel -V".
По оценкам экспертов, большое количество cPanel-серверов, доступных из интернета, остаются незащищёнными, что делает приоритетным быстрое развёртывание патчей и проверку журналов событий. Администраторам необходимо обратить внимание на логи аутентификации, каталоги сессий и историю доступа к панели управления, начиная как минимум с февраля 2026 года. Подозрительными признаками считаются необычные IP-адреса, неизвестные входы в систему или неожиданные изменения конфигурации. Особенно это важно для платформ общего хостинга, где компрометация одного экземпляра cPanel может поставить под угрозу множество клиентских окружений.
Специалисты по информационной безопасности рекомендуют не ограничиваться простой установкой патчей. После применения всех соответствующих обновлений следует сменить пароли от панели управления, API-ключи и критические учётные данные приложений. На серверах, где используется DNS-кластеризация, стоит дополнительно проверить корректность SSL-соединений. Для владельцев сайтов на базе WordPress и других платформ стоит также проверить целостность файлов и наличие возможных веб-шеллов, которые могли быть внедрены до закрытия уязвимостей.
Текущая волна уязвимостей в cPanel & WHM напоминает, что даже зрелые продукты не застрахованы от серьёзных ошибок в логике аутентификации и контроле доступа. CVE-2026-41940 с её обходом многофакторной защиты и возможностью полного захвата управления является одной из самых опасных проблем в истории платформы. В сочетании с майскими багами, позволяющими эскалацию прав, чтение файлов и SQL-инъекции, злоумышленники получают практически неограниченные возможности для атаки на хостинг-инфраструктуру. Единственный надёжный способ защититься - немедленно установить все доступные патчи и провести аудит безопасности.
Ссылки
