cPanel 开发商 WebPros International 于 4 月 28 日发布安全公告,披露影响旗下主机控制面板软件 cPanel 及 WHM 的严重认证绕过漏洞,编号 CVE-2026-41940,CVSS 评分 9.8。漏洞根源在于 cPanel 服务守护进程(cpsrvd)的会话文件写入机制存在 CRLF 注入缺陷:攻击者通过构造含有换行字符的恶意 Basic Authorization 请求头,可在认证发生前向磁盘上的会话文件注入任意键值对(如 user=root、hasroot=1),从而绕过密码与双因素认证,以 root 权限接管 WHM 管理界面——整个利用链仅需数个 HTTP 请求,无需任何凭据。受影响范围为 v11.40(2013 年发布)之后的所有版本,以及基于 cPanel 构建的 WordPress 托管平台 WP Squared v136.1.7 之前版本;Shodan 数据显示互联网暴露的 cPanel 实例约达 150 万个。
此次漏洞属于真实零日:托管服务商 KnownHost 确认,攻击者最早于 2 月 23 日便已开始利用,早于 4 月 28 日公开披露约两个月。安全研究公司 watchTowr 于 4 月 29 日同步发布技术分析与概念验证代码,CISA 随即将其纳入"已知被利用漏洞"目录。Shadowserver Foundation 监测到 4 月 30 日单日参与扫描及暴力攻击的 IP 数量峰值达 44,000 个,澳大利亚网络安全中心(ACSC)亦确认在澳大利亚境内发现活跃利用。目前各主版本均已发布修复版本(最新稳定版为 11.136.0.5),管理员应立即升级并使用 cPanel 官方 IoC 检测脚本排查是否已遭入侵;临时缓解措施包括在防火墙层面封锁 2083、2087、2095、2096 端口的入站流量。
Help Net Security | The Hacker News | Rapid7
https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/
https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html