A vulnerabilidade crítica
CVE-2026-41940
, que permite contornar a autenticação no cPanel, WHM e WP Squared, está sendo explorada ativamente no mundo real e já foi usada em tentativas desde o fim de fevereiro.
Ainda não está claro quando a exploração começou, mas a KnownHost, empresa de hospedagem que utiliza cPanel, afirmou no dia em que a falha foi divulgada que “explorações bem-sucedidas já haviam sido observadas em ambiente real” antes de uma correção ficar disponível.
O CEO da KnownHost, Daniel Pearson, também informou que a empresa viu “tentativas de execução já em 23/2/2026”.
Novos detalhes técnicos publicados, que podem ser usados para desenvolver um exploit, mostram que o problema é uma “injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão do cPanel e WHM”.
O cPanel liberou uma correção em 28 de abril, após pressão de provedores de hospedagem.
Para proteger clientes, a Namecheap bloqueou temporariamente conexões às portas 2083 e 2087 do cPanel e do WHM até que os patches estivessem disponíveis.
Um relatório da empresa de segurança ofensiva watchTowr explica que a falha decorre de um tratamento inadequado de sessões no cPanel e no WHM.
Nesse cenário, entradas controladas pelo usuário no cabeçalho Authorization são gravadas em arquivos de sessão no servidor antes da autenticação e sem a devida sanitização.
Os pesquisadores da watchTowr também publicaram uma análise detalhada sobre como o bug pode ser acionado para acessar o sistema sem validar a senha informada, o que pode ser usado para desenvolver um exploit funcional.
Segundo a Rapid7, varreduras feitas com o Shodan indicam que há cerca de 1,5 milhão de instâncias do cPanel expostas na internet.
No entanto, não há dados sobre quantas delas estão vulneráveis à
CVE-2026-41940
.
“A exploração bem-sucedida da
CVE-2026-41940
concede ao invasor controle sobre o sistema host do cPanel, suas configurações e bancos de dados, além dos sites que ele administra”, alertou a Rapid7.
O cPanel atualizou seu boletim de segurança e informou que a vulnerabilidade também afeta o WP Squared, um painel de gerenciamento abrangente para hospedagem WordPress baseado no cPanel.
Além disso, ao contrário do que havia sido informado inicialmente, apenas versões do cPanel posteriores à 11.40 são afetadas pelo problema.
A empresa recomenda fortemente que todos os clientes reiniciem o serviço cpsrvd após instalar as versões mais recentes do software.
Versões afetadas e correções disponíveis:
cPanel/WHM 11.110.0, corrigido na 11.110.0.97
cPanel/WHM 11.118.0, corrigido na 11.118.0.63
cPanel/WHM 11.126.0, corrigido na 11.126.0.54
cPanel/WHM 11.132.0, corrigido na 11.132.0.29
cPanel/WHM 11.134.0, corrigido na 11.134.0.20
cPanel/WHM 11.136.0, corrigido na 11.136.0.5
WP Squared 11.136.1, corrigido na 11.136.1.7
Se a atualização não puder ser aplicada imediatamente, os clientes devem ao menos bloquear o acesso externo às portas 2083, 2087, 2095 e 2096, ou interromper os serviços internos essenciais cpsrvd e cpdavd do cPanel.
A empresa também disponibilizou um script de detecção para verificar se houve comprometimento.
Caso sejam encontrados indícios, a recomendação é limpar as sessões, redefinir todas as credenciais, auditar os logs e investigar possíveis mecanismos de persistência.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...