30 kwietnia 2026 producent najpopularniejszego na świecie panelu hostingowego potwierdził, że luka oznaczona jako CVE-2026-41940 jest aktywnie wykorzystywana co najmniej od 23 lutego, a prawdopodobnie znacznie dłużej. Podatność pozwala nieautoryzowanemu napastnikowi obejść mechanizm logowania w cPanel oraz WHM i przejąć pełną kontrolę nad serwerem — wraz ze wszystkimi hostowanymi na nim stronami, bazami danych i kontami pocztowymi. Ocena 9.8 w dziesięciostopniowej skali CVSS oznacza w tym przypadku krytyczność, którą trudno zignorować, zwłaszcza że łatka pojawiła się dopiero po publikacji szczegółowej analizy i działającego proof-of-concept przez badaczy z watchTowr.
Na czym polega problem
CVE-2026-41940 to klasyczny przykład błędu typu CRLF injection w warstwie obsługi sesji. Mechanizm logowania cPanel i WHM zapisuje plik sesji na podstawie zawartości nagłówka Authorization, ale nie filtruje znaków końca linii. Wystarczy, że atakujący wstrzyknie do nagłówka znaki \r\n razem z kontrolowanymi przez siebie polami — na przykład user=root — a serwer dopisze je do pliku sesji jako pełnoprawne wartości. Dodatkowo manipulując ciasteczkiem whostmgrsession można pominąć etap szyfrowania, dzięki czemu cała operacja wymaga jedynie wysłania odpowiednio spreparowanego zapytania HTTP.
Efekt jest taki, że bez znajomości hasła ani drugiego składnika napastnik dostaje sesję z uprawnieniami administratora WHM, czyli — w praktyce — rootem na serwerze. Może z niej tworzyć i modyfikować konta, podmieniać pliki stron, eksfiltrować bazy danych albo zostawić w systemie tylne furtki, które przetrwają samą aktualizację cPanel.
Kto jest podatny
Lista wersji dotkniętych podatnością jest praktycznie pełna — błąd występuje we wszystkich wspieranych wydaniach cPanel i WHM po wersji 11.40, a także w produkcie WP Squared opartym na tej samej platformie. Łatki pojawiły się w wydaniach 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, 11.136.0.5 oraz w WP Squared 11.136.1.7. Amerykańska agencja CISA już dopisała CVE-2026-41940 do katalogu Known Exploited Vulnerabilities, co oznacza, że federalne urzędy mają zaledwie kilka dni na wymuszenie aktualizacji u siebie.
Skala potencjalnego zagrożenia jest ogromna, ponieważ cPanel obsługuje setki tysięcy serwerów dzielonego hostingu na całym świecie, a w Polsce praktycznie każda średnia i większa firma hostingowa ma w ofercie tańsze pakiety właśnie na tym panelu. Jeden zhakowany serwer to często kilkaset stron i tysiące skrzynek pocztowych w jednym miejscu.
Co zrobić od razu
Pierwsza i najważniejsza rzecz to aktualizacja cPanel oraz WHM do najnowszego wydania w obrębie obsługiwanej gałęzi. Jeżeli z jakiegokolwiek powodu nie można tego zrobić natychmiast, watchTowr i sam producent zalecają tymczasowe zablokowanie dostępu do portów 2083, 2087, 2095 oraz 2096 na firewallu i zatrzymanie usług cpsrvd i cpdavd, dopóki łatka nie zostanie wgrana. Warto też przejrzeć logi pod kątem nietypowych nagłówków Authorization z białymi znakami oraz nieoczekiwanych logowań na konto root.
Po samej aktualizacji zdecydowanie warto zmienić hasła wszystkich kont WHM i głównych użytkowników, wymusić rotację kluczy API oraz przejrzeć pliki konfiguracyjne i listę crontabów pod kątem dopisków, których nie pamiętamy. Atakujący, który mógł siedzieć w systemie od lutego, niemal na pewno zostawił sobie wygodne wejście awaryjne. Włączenie uwierzytelniania dwuskładnikowego dla WHM i klientów cPanel powinno być standardem, ale w tym scenariuszu — przypominam — ono samo nie chroni, bo cała luka omija proces logowania.
Z perspektywy klienta hostingu
Jeżeli korzystacie z hostingu współdzielonego, sprawdźcie czy wasz dostawca opublikował komunikat o aktualizacji panelu. Brak informacji w ciągu kilku dni od ujawnienia podatności to sygnał, że warto zapytać supportu wprost o wersję cPanel pracującą na waszym serwerze. Po stronie własnej zmieńcie profilaktycznie hasła do panelu, FTP i baz danych, sprawdźcie listę adresów e-mail przekierowań w cPanel oraz datę ostatniej modyfikacji plików w katalogu strony — szczególnie index.php, wp-config.php i wszystkiego, co odpowiada za kasę: koszyk, integrację z bramką płatności, formularze kontaktowe.
Podsumowanie
CVE-2026-41940 jest jedną z najgroźniejszych podatności w infrastrukturze hostingowej tego roku, bo łączy banalność wykorzystania z dramatycznym efektem — pełnym przejęciem serwera bez żadnych poświadczeń. Kombinacja kilku miesięcy aktywnej eksploatacji, dotknięcia praktycznie wszystkich wersji cPanel oraz wpisania do katalogu KEV oznacza, że administratorzy nie mają tutaj komfortu „aktualizacji w przyszłym tygodniu”. Im szybciej serwery zostaną załatane, a logi przejrzane pod kątem włamań sprzed łatki, tym mniejsze ryzyko, że klienci hostingu zorientują się o problemie dopiero z e-maila o defacie ich strony.
źródło: https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/