Критическая уязвимость в cPanel и WHM (CVE-2026-41940): обход аутентификации с правами root

В одной из самых популярных панелей управления хостингом обнаружена критическая уязвимость, позволяющая получить полный административный доступ к серверу без логина и пароля. Патч уже выпущен, но обновление нужно установить срочно: уязвимость активно используется злоумышленниками.

Что случилось

28 апреля 2026 года cPanel выпустил экстренное обновление для уязвимости CVE-2026-41940 с оценкой CVSS 9.8 (критическая). Ошибка в обработке файлов сессий позволяет удалённому атакующему обойти аутентификацию и получить root-права на сервере — без пароля и без двухфакторной защиты.

Уязвимость обнаружили исследователи watchTowr Labs. По имеющимся данным, атаки с её использованием фиксировались как минимум с 23 февраля 2026 года — за два месяца до публичного раскрытия и выхода патча.

Насколько опасно

• Огромный масштаб: cPanel занимает около 94% рынка панелей управления хостингом и обслуживает порядка 70 миллионов доменов. В интернет открыто доступно примерно 1,5 миллиона серверов с cPanel.
• Активные атаки: Shadowserver Foundation фиксирует около 44 000 IP-адресов, сканирующих и атакующих уязвимые серверы.
• Внесена в каталог CISA KEV 30 апреля 2026 года — это означает подтверждённую эксплуатацию и максимальный приоритет для устранения.
• Кто под ударом: все версии cPanel и WHM после 11.40, включая DNSOnly, а также WP Squared до версии 136.1.7.
• Последствия для shared-хостинга: компрометация одного сервера означает доступ ко всем сайтам, базам данных и почтовым ящикам его клиентов.

Как исправить