Krytyczna podatność CVE-2026-41940 w cPanel i WHM

CVE-2026-41940 to jedna z najgroźniejszych podatności w historii cPanel i WHM. Sprawdź, jak działała luka, jakie niosła zagrożenia i jak zabezpieczyć serwer hostingowy.

[9 czerwca 2026] • root • PrywatnyInformatyk.pl

Końcówka kwietnia i początek maja 2026 roku przyniosły jeden z najpoważniejszych incydentów bezpieczeństwa w historii panelu cPanel & WHM. Krytyczna podatność oznaczona jako CVE-2026-41940 pozwalała atakującym na obejście mechanizmów uwierzytelniania i uzyskanie dostępu administracyjnego do serwera bez znajomości loginu i hasła.

Problem został oceniony na 9.8/10 w skali CVSS, a dodatkowo potwierdzono jego aktywne wykorzystywanie przez cyberprzestępców jeszcze przed publikacją poprawek bezpieczeństwa.

Czym jest cPanel i dlaczego problem był tak poważny?

cPanel oraz WebHost Manager (WHM) należą do najpopularniejszych paneli administracyjnych używanych przez firmy hostingowe na całym świecie. Za ich pomocą zarządza się:

  • stronami internetowymi,
  • kontami e-mail,
  • bazami danych,
  • certyfikatami SSL,
  • kontami użytkowników,
  • konfiguracją serwera.

W praktyce przejęcie dostępu do WHM oznacza możliwość przejęcia kontroli nad wszystkimi kontami hostingowymi znajdującymi się na danym serwerze.

Na czym polegała podatność CVE-2026-41940?

Według informacji opublikowanych przez producenta problem występował w mechanizmie obsługi sesji użytkowników. W określonych warunkach odpowiednio spreparowane żądanie HTTP mogło doprowadzić do sytuacji, w której nieautoryzowana sesja została uznana za prawidłowo zalogowaną.

W efekcie atakujący mógł uzyskać dostęp administracyjny bez podawania prawidłowych danych logowania.

Badacze bezpieczeństwa opisali również techniczny mechanizm wykorzystania błędu związany z manipulacją danymi sesji i wstrzykiwaniem znaków CRLF (Carriage Return Line Feed), co umożliwiało utworzenie fałszywej sesji administratora.

Podatność była aktywnie wykorzystywana

Najbardziej niepokojącą informacją był fakt, że luka nie była wyłącznie teoretyczna.

Amerykańska agencja CISA dodała CVE-2026-41940 do katalogu Known Exploited Vulnerabilities (KEV), co oznacza potwierdzone przypadki wykorzystywania podatności w rzeczywistych atakach.

Eksperci bezpieczeństwa informowali również, że ślady prób wykorzystania luki mogły pojawiać się już kilka tygodni przed publikacją oficjalnych poprawek.

Jakie były potencjalne skutki ataku?

Skuteczny atak mógł umożliwić:

  • przejęcie panelu WHM lub cPanel,
  • uzyskanie dostępu do stron klientów,
  • kradzież danych baz danych,
  • instalację złośliwego oprogramowania,
  • podmianę plików stron internetowych,
  • tworzenie nowych kont administratorów,
  • wykradanie skrzynek pocztowych,
  • całkowite przejęcie serwera hostingowego.

Jak zareagował producent?

Firma cPanel opublikowała poprawki bezpieczeństwa dla wszystkich wspieranych wersji oprogramowania. Według oficjalnego komunikatu pierwsze aktualizacje zostały przygotowane w ciągu około 28 godzin od potwierdzenia podatności.

Producent udostępnił również narzędzia umożliwiające wykrywanie prób wykorzystania luki oraz instrukcje postępowania dla administratorów.

Obecnie zdecydowana większość aktywnych instalacji cPanel została już zaktualizowana.

Co powinni zrobić administratorzy?

Jeżeli zarządzasz serwerem z cPanel lub WHM:

  1. Sprawdź, czy system został zaktualizowany do wersji zawierającej poprawkę.
  2. Przeanalizuj logi pod kątem nietypowych logowań z końca kwietnia i początku maja 2026 roku.
  3. Zmień hasła administratorów oraz kont uprzywilejowanych.
  4. Zweryfikuj listę użytkowników i kluczy API.
  5. Sprawdź integralność stron internetowych klientów.
  6. Przeskanuj serwer pod kątem backdoorów i webshelli.
  7. Upewnij się, że automatyczne aktualizacje bezpieczeństwa działają prawidłowo.

Dlaczego warto śledzić takie incydenty?

CVE-2026-41940 pokazuje, że nawet najbardziej popularne i powszechnie używane systemy administracyjne mogą zawierać błędy pozwalające na całkowite przejęcie serwera.

Dla właścicieli stron internetowych jest to przypomnienie, że bezpieczeństwo hostingu nie kończy się na aktualizowaniu WordPressa czy Drupala. Równie ważne są aktualizacje infrastruktury serwerowej, paneli administracyjnych oraz systemów operacyjnych.

Najważniejsze informacje

Podatność CVE-2026-41940 była jednym z najpoważniejszych incydentów bezpieczeństwa w świecie hostingu w 2026 roku. Luka umożliwiała obejście uwierzytelniania i przejęcie kontroli nad serwerem bez znajomości danych logowania. Ze względu na potwierdzone aktywne wykorzystanie podatności administratorzy powinni upewnić się, że wszystkie serwery cPanel zostały zaktualizowane oraz przeprowadzić analizę logów z okresu poprzedzającego publikację poprawek.

Źródła

  • https://www.cpanel.net/blog/security/security-update-cve-2026-41940/
  • https://support.cpanel.net/hc/en-us/articles/40073787579671
  • https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  • https://www.cisa.gov/news-events/alerts/2026/04/30/cisa-adds-one-known-exploited-vulnerability-catalog
  • https://moje.cert.pl/komunikaty/2026/55/krytyczna-podatnosc-w-cpanel-oraz-whm/
  • https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
  • https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/
Zobacz inne posty