2026年4月28日,WebPros International正式披露了cPanel & WHM中的一个严重认证绕过漏洞,编号为CVE-2026-41940,CVSS评分高达9.8(严重级别)。该漏洞的PoC利用代码已于4月29日由安全研究机构watchTowr公开发布,这意味着全球任何人都可以轻易利用此漏洞攻击未修补的服务器。
漏洞详情:CRLF注入绕过整个认证体系
根据安全研究人员的分析,CVE-2026-41940源于cPanel/WHM登录及会话加载流程中的CRLF(回车换行符)注入缺陷。攻击者通过发送特制的未认证HTTP请求,即可完全绕过身份验证机制,直接获得对宿主系统的未授权管理员访问权限,无需任何用户名和密码。
更令人警惕的是,安全社区的调查显示,该漏洞最早于2026年2月23日就已被野外利用——比官方补丁发布(4月28日)足足早了两个多月。这意味着在补丁发布之前,已经有攻击者在暗中利用这一漏洞。
影响规模:150万暴露实例
cPanel & WHM是全球互联网最主流的Linux服务器Web托管控制面板之一。据统计,互联网上约有150万个cPanel实例处于公开暴露状态,受影响版本包括v11.40之后的所有版本,以及WP Squared v136.1.7。一旦被攻破,攻击者可以:
- 未授权访问和篡改托管网站
- 窃取或破坏数据库数据
- 修改服务器系统配置
- 获取电子邮件账户权限
- 部署Webshell持久化后门
- 将敏感数据外传
CISA紧急纳入KEV目录:明天截止!
鉴于漏洞已在野被积极利用且PoC已公开,美国网络安全和基础设施安全局(CISA)已于近日将CVE-2026-41940列入已知被利用漏洞(KEV)目录,并要求所有联邦机构于2026年5月3日前完成修复——换言之,距离截止日期仅剩一天!
紧急修复建议
对于运行cPanel/WHM的服务器管理员,我们强烈建议立即采取以下措施:
第一步:立即打补丁
应用WebPros International于4月28日发布的安全更新,这是最高优先级的紧急处置措施。
第二步:排查是否已被入侵
由于漏洞在野利用时间长达两个月以上,所有未打补丁的面向互联网的cPanel实例均应视为可能已被入侵。建议立即执行以下排查动作:
- 审查身份验证日志,查找异常登录记录
- 检查近期新创建的账户
- 审计计划任务(Cron Jobs)是否有可疑条目
- 执行文件完整性检查,查找Webshell
第三步:临时缓解(无法立即打补丁时)
如果暂时无法打补丁,可通过防火墙将cPanel管理端口(2082/2083/2086/2087)限制为仅受信任IP访问,作为临时缓解措施。
对IT外包服务商的意义
作为专业的IT外包服务商,我们强烈建议所有使用cPanel/WHM管理客户服务器的企业,立即开展以下行动:首先确认所管理的服务器是否运行cPanel/WHM;其次确认当前版本是否在受影响范围内;最后也是最重要的——立即打补丁并进行安全排查。如果您不具备独立处理的能力,欢迎联系我们,我们可以提供紧急安全评估和修复服务。