文章总结： cPanel登录流程存在认证绕过漏洞CVE-2026-41940，CVSS评分9.8级严重漏洞，影响11.86.0至11.136.0等多个版本。攻击者可无需凭证直接绕过认证获取控制面板权限。官方已发布安全更新至11.86.0.41等版本，临时缓解措施包括IP白名单控制、关闭公网暴露端口及部署WAF规则。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,解决方案,应急响应,WEB安全

【已复现】cPanel 登录流程认证绕过漏洞（CVE-2026-41940）

安恒信息CERT

2026年4月30日 20:26 浙江

在小说阅读器读本章

去阅读

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | cPanel 登录流程认证绕过漏洞 | | | | 安恒CERT评级 | 1级 | CVSS3.1评分 | 9.8 | | CVE编号 | CVE-2026-41940 | CNVD编号 | 未分配 | | CNNVD编号 | 未分配 | 安恒CERT编号 | DM-202604-005723 | | POC情况 | 已发现 | EXP情况 | 未发现 | | 在野利用 | 未发现 | 研究情况 | 已复现 | | 危害描述 | 该漏洞cPanel 和 WHM 11.40 之后版本在登录流程中存在认证绕过漏洞。未经身份验证的远程攻击者可利用该漏洞绕过身份验证，获取对控制面板的未授权访问权限。 | | |

该产品主要使用客户行业分布广泛，漏洞危害性高，建议客户尽快做好自查及防护。

安恒研究院卫兵实验室已通过恒脑AI代码审计智能体复现此漏洞。

漏洞信息

cPanel 是一套基于 Linux 的虚拟主机管理面板，提供网站和服务器管理功能。

漏洞描述

漏洞危害等级：严重

漏洞类型：认证漏洞

影响范围

影响版本：

cPanel & WHM 11.86.0 < 11.86.0.41, 11.110.0 < 11.110.0.97, 11.118.0 < 11.118.0.63, 11.126.0 < 11.126.0.54, 11.130.0 < 11.130.0.18, 11.132.0 < 11.132.0.29, 11.134.0 < 11.134.0.20, 11.136.0 < 11.136.0.5; WP Squared 11.136.1 < 11.136.1.7

安全版本：

cPanel & WHM 11.86.0.41 / 11.110.0.97 / 11.118.0.63 / 11.126.0.54 / 11.130.0.18 / 11.132.0.29 / 11.134.0.20 / 11.136.0.5; WP Squared 11.136.1.7

CVSS向量

访问途径（AV）：网络

攻击复杂度（AC）：低

所需权限（PR）：无

用户交互（UI）：无

影响范围 （S）：不变

机密性影响 （C）：高

完整性影响 （l）：高

可用性影响 （A）：高

修复方案

官方修复方案：

cPanel 官方已发布安全更新，请升级至对应版本线的修复版本：cPanel & WHM 请升级至 11.86.0.41、11.110.0.97、11.118.0.63、11.126.0.54、11.130.0.18、11.132.0.29、11.134.0.20 或 11.136.0.5（含以上）；WP Squared 请升级至 11.136.1.7（含以上）。

信息来源：https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026

官方临时缓解方案：

在官方补丁安装前，建议采取以下临时缓解措施：1）对 cPanel/WHM 管理界面实施严格的 IP 白名单访问控制，仅允许可信管理IP访问 2082/2083（cPanel）、2086/2087（WHM）端口；2）如非必要，不要在公网暴露 cPanel/WHM 管理端口，建议通过 VPN 或堡垒机进行管理；3）部署 WAF 规则，对登录接口的异常请求进行监控和拦截。以上措施为基于漏洞暴露面的保守缓解，无法完全消除风险。

信息来源：https://www.vulncheck.com/advisories/cpanel-and-whm-authentication-bypass-via-login-flow

参考资料

https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026

https://docs.cpanel.net/release-notes/release-notes

https://docs.wpsquared.com/changelogs/versions/changelog/#13617

https://www.vulncheck.com/advisories/cpanel-and-whm-authentication-bypass-via-login-flow

https://www.namecheap.com/status-updates/ongoing-critical-security-vulnerability-in-cpanel-april-28-2026

https://github.com/Sachinart/CVE-2026-41940-cpanel-0day

https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py

技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安恒信息CERT 《【已复现】cPanel 登录流程认证绕过漏洞（CVE-2026-41940）》