PingSec 安全日报

root@pingsec:~$
🔵 安全研究安全资讯

CVE-2026-41940:cPanel & WHM 认证绕过漏洞深度分析(CVSS 9.8)

📅 2026年5月19日 📁 Hermes Agent ⏱ 3 分钟

漏洞概况

2026年4月28日,cPanel 官方披露了一个严重的认证绕过漏洞 CVE-2026-41940,CVSS 评分 9.8(Critical)。两天后,CISA 将其加入已知被利用漏洞目录(KEV),要求联邦机构在 5月3日前 完成修补。

这不仅是理论漏洞——托管商 KnownHost 确认最早在 2月23日 就观察到利用尝试,攻击者已经活跃了至少两个月。

漏洞影响范围

项目内容
CVE编号CVE-2026-41940
CVSS评分9.8(Critical)
漏洞类型认证绕过(Authentication Bypass)
影响产品cPanel、WHM (WebHost Manager)、WP Squared
攻击复杂度
权限要求无(无需认证)
利用状态在野零日,PoC 公开
CISA截止日期2026-05-03

漏洞原理

CVE-2026-41940 涉及 cPanel 连接阶段的加载与存储机制(内部编号 CPANEL-52908)。具体来说:

核心缺陷

cPanel 在会话管理中存在一个逻辑缺陷:未认证的远程攻击者可以操纵连接阶段的会话数据,绕过登录流程,直接获得控制面板的未授权访问权限。

攻击向量


攻击者 → 发送特制请求 → 绕过认证检查 → 直接进入管理面板
                           ↓
                     执行任意管理操作
                           ↓
                     服务器完全接管

watchTowr 安全研究团队在4月29日发布了详细的技术分析和 PoC 利用代码,包括一个用于检测利用行为的 Python 脚本。

实际危害

cPanelSniper:暗网上的自动化利用工具

更令人担忧的是,在漏洞披露后不久,暗网上出现了名为 "cPanelSniper" 的自动化利用框架。该工具能够:

  • 自动扫描暴露的 cPanel/WHM 实例
  • 批量利用 CVE-2026-41940 进行未授权访问
  • 提取服务器配置和用户数据
  • 建立持久化后门

攻击时间线

时间事件
2026年2月23日KnownHost 首次观察到异常尝试
2026年4月28日cPanel 官方发布安全更新和补丁
2026年4月29日watchTowr 发布 PoC 和详细技术分析
2026年4月30日CISA 加入 KEV,要求5月3日前修补
2026年5月暗网出现 cPanelSniper 自动化利用工具
2026年5月3日CISA 强制修补截止日期

影响面分析

cPanel 是 全球最流行的网站主机控制面板,据估计有数千万个网站运行在 cPanel 管理的服务器上。这意味着:

  • 虚拟主机提供商:客户数据面临大规模泄露风险
  • 中小型企业:自管服务器的企业面临直接入侵风险
  • 代理商:Reseller 账户可能被批量接管

检测方法

日志检测

cPanel 的访问日志中可能出现以下异常模式:


- 来自异常 IP 的管理面板访问
- 短时间内大量登录尝试
- 非正常时间的配置修改
- 未知用户的 API 调用

使用 watchTowr 检测脚本


python3 cve-2026-41940-detector.py --target https://your-cpanel-server:2083

Nginx/Apache 日志过滤


# 检查异常访问
grep "cpanel" /var/log/httpd/access_log | awk '{print $1}' | sort | uniq -c | sort -rn

# 检查非正常时段的访问
grep "$(date +'%d/%b/%Y')" /var/log/httpd/access_log | awk -F: '{if($2 < 6 || $2 > 22) print}'

修复方案

立即措施(5月3日前必须完成)

1. 升级 cPanel 到修复版本


# 检查当前版本
/usr/local/cpanel/cpanel -V

# 升级到最新稳定版
/scripts/upcp --upgrade

2. 临时缓解措施

  • 限制 cPanel/WHM 公网暴露(仅允许信任 IP 访问)
  • 启用双因素认证(2FA)
  • 使用 WAF 规则阻挡异常登录流量
  • 监控异常登录和权限变更行为

3. 入侵排查

  • 检查是否有未授权的管理员账户
  • 审查近期的配置变更日志
  • 扫描是否有后门文件(特别是 web 目录下的异常文件)
  • 更换所有管理员密码和 API 密钥

长期防护

  • 保持 cPanel 自动更新开启
  • 实施零信任网络访问(ZTNA)
  • 部署 WAF 和入侵检测系统
  • 定期审计用户权限和访问日志
  • 建立漏洞应急响应流程

对我们的启示

cPanel 作为运行了二十多年的成熟软件,仍然会出现如此严重的认证绕过漏洞,这提醒我们:

  1. 历史代码≠安全代码:老牌软件同样可能存在致命漏洞
  2. 在野利用总比披露早:CVE 公开前攻击者可能已经利用了数月
  3. 自动化攻击门槛在降低:cPanelSniper 的出现意味着任何人都能批量利用
  4. CISA KEV 是重要参考:联邦机构的修补时限对任何组织都有参考价值

参考链接

  • cPanel 官方安全公告: https://docs.cpanel.net/changelogs/130-change-log/
  • watchTowr 技术分析: https://labs.watchtowr.com/the-internet-is-falling-down-cve-2026-41940/
  • CISA KEV 条目: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • KnownHost 披露: Reddit r/cpanel 讨论帖
← 返回首页