Уязвимость получила оценку CVSS 9.8 из 10.0 — это практически потолок по шкале критичности. CVE-2026-41940 затронула cPanel и WebHost Manager (WHM) во всех версиях после 11.40, а значит под удар попали десятки тысяч серверов, на которых крутятся сайты обычных людей, малого бизнеса и корпораций. Издание The Hacker News сообщило о массовой эксплуатации до выхода патчей — то есть атаки шли вживую, пока разработчики ещё только готовили исправления.
Суть уязвимости — CRLF-инъекция (Carriage Return Line Feed) в процессе авторизации и загрузки сессий. Компания Rapid7 и исследователи watchTowr Labs разобрали механику по шагам: служба cpsrvd записывает новый файл сессии на диск ещё до завершения аутентификации пользователя. Атакующий подменяет cookie whostmgrsession, убирая из него нужный сегмент, что позволяет обойти шифрование. Дальше в заголовок базовой авторизации вставляются сырые символы \r\n. Система пишет файл сессии без какой-либо очистки входных данных, и злоумышленник вписывает туда произвольные свойства — конкретно user=root. После принудительной перезагрузки сессии система выдаёт токен с правами администратора. Всё. Без пароля, без двухфакторки, без единого легитимного шага.
Бенджамин Харрис, CEO и основатель watchTowr, охарактеризовал cPanel как «плоскость управления, развёрнутую на десятках тысяч серверов, которые держат значимую часть интернета». Это не преувеличение: по данным Eye Security, опубликованным в LinkedIn, к сети подключено свыше 2 миллионов экземпляров cPanel. Сколько из них работают с включённым автообновлением — неизвестно.
WHM по своей природе даёт root-доступ к серверу. Для атакующего это означает полный контроль: читать все клиентские аккаунты хостинга, менять файлы и базы данных, создавать бэкдорные учётки, ставить малварь, красть учётные данные и двигаться дальше по сети клиентов. Компания Hadrian, комментируя масштаб угрозы, назвала ситуацию критической именно из-за привилегированного уровня доступа, который получает посторонний человек.
Первичное оповещение опубликовала компания WebPros во вторник. Хостинг-провайдеры отреагировали быстро — фактически нажали аварийный стоп и закрыли клиентам доступ к собственным панелям управления через фаервол, пока патч не был готов. Так поступили , KnownHost, HostPapa и InMotion. Namecheap заблокировал TCP-порты 2083 и 2087, тем самым временно отрезав доступ к cPanel и WHM. 29 апреля 2026 года в 02:42 UTC команда поддержки Namecheap сообщила об успешном применении исправления на Reseller, Stellar Business и всех остальных серверах — доступ был восстановлен.
cPanel выпустила патчи сразу для нескольких веток: версии 86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 и 11.136.0.5. Отдельно был закрыт WP Squared — до версии 136.1.7. Неподдерживаемые версии тоже, по всей вероятности, уязвимы, но патчей для них нет — пользователи обязаны мигрировать на актуальные сборки.
CISA внесла CVE-2026-41940 в каталог Known Exploited Vulnerabilities. Для агентств Federal Civilian Executive Branch установлен обязательный дедлайн — 3 мая 2026 года — к этой дате патчи должны быть применены. NIST зафиксировал уязвимость в базе NVD; CVE-идентификатор появился уже после публичного раскрытия, первоначально уязвимость не имела официального номера.
cPanel также выпустила скрипт для обнаружения следов компрометации. Он ищет конкретные признаки: сессию с одновременным наличием token_denied и cp_security_token с методом badpass origin; предаутентифицированную сессию с атрибутами аутентифицированного пользователя; сессию с флагом tfa_verified без корректного источника происхождения; поле пароля, содержащее символы новой строки. Если хотя бы один из этих признаков обнаружен — сервер, скорее всего, уже был атакован.
Изображение носит иллюстративный характер
Суть уязвимости — CRLF-инъекция (Carriage Return Line Feed) в процессе авторизации и загрузки сессий. Компания Rapid7 и исследователи watchTowr Labs разобрали механику по шагам: служба cpsrvd записывает новый файл сессии на диск ещё до завершения аутентификации пользователя. Атакующий подменяет cookie whostmgrsession, убирая из него нужный сегмент, что позволяет обойти шифрование. Дальше в заголовок базовой авторизации вставляются сырые символы \r\n. Система пишет файл сессии без какой-либо очистки входных данных, и злоумышленник вписывает туда произвольные свойства — конкретно user=root. После принудительной перезагрузки сессии система выдаёт токен с правами администратора. Всё. Без пароля, без двухфакторки, без единого легитимного шага.
Бенджамин Харрис, CEO и основатель watchTowr, охарактеризовал cPanel как «плоскость управления, развёрнутую на десятках тысяч серверов, которые держат значимую часть интернета». Это не преувеличение: по данным Eye Security, опубликованным в LinkedIn, к сети подключено свыше 2 миллионов экземпляров cPanel. Сколько из них работают с включённым автообновлением — неизвестно.
WHM по своей природе даёт root-доступ к серверу. Для атакующего это означает полный контроль: читать все клиентские аккаунты хостинга, менять файлы и базы данных, создавать бэкдорные учётки, ставить малварь, красть учётные данные и двигаться дальше по сети клиентов. Компания Hadrian, комментируя масштаб угрозы, назвала ситуацию критической именно из-за привилегированного уровня доступа, который получает посторонний человек.
Первичное оповещение опубликовала компания WebPros во вторник. Хостинг-провайдеры отреагировали быстро — фактически нажали аварийный стоп и закрыли клиентам доступ к собственным панелям управления через фаервол, пока патч не был готов. Так поступили , KnownHost, HostPapa и InMotion. Namecheap заблокировал TCP-порты 2083 и 2087, тем самым временно отрезав доступ к cPanel и WHM. 29 апреля 2026 года в 02:42 UTC команда поддержки Namecheap сообщила об успешном применении исправления на Reseller, Stellar Business и всех остальных серверах — доступ был восстановлен.
cPanel выпустила патчи сразу для нескольких веток: версии 86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 и 11.136.0.5. Отдельно был закрыт WP Squared — до версии 136.1.7. Неподдерживаемые версии тоже, по всей вероятности, уязвимы, но патчей для них нет — пользователи обязаны мигрировать на актуальные сборки.
CISA внесла CVE-2026-41940 в каталог Known Exploited Vulnerabilities. Для агентств Federal Civilian Executive Branch установлен обязательный дедлайн — 3 мая 2026 года — к этой дате патчи должны быть применены. NIST зафиксировал уязвимость в базе NVD; CVE-идентификатор появился уже после публичного раскрытия, первоначально уязвимость не имела официального номера.
cPanel также выпустила скрипт для обнаружения следов компрометации. Он ищет конкретные признаки: сессию с одновременным наличием token_denied и cp_security_token с методом badpass origin; предаутентифицированную сессию с атрибутами аутентифицированного пользователя; сессию с флагом tfa_verified без корректного источника происхождения; поле пароля, содержащее символы новой строки. Если хотя бы один из этих признаков обнаружен — сервер, скорее всего, уже был атакован.
