文章总结： cPanel与WHM控制面板存在严重认证绕过漏洞CVE-2026-41940（CVSS9.8），允许未授权访问控制面板。影响除最新版外所有版本，厂商已发布紧急更新需手动执行/scripts/upcp–force命令修补。漏洞可能导致攻击者完全控制服务器和网站数据，建议管理员立即更新至安全版本。 综合评分： 86 文章分类： 漏洞分析,应急响应,漏洞预警,解决方案,WEB安全

cPanel 与 WHM 紧急更新修复关键认证绕过漏洞

HackerNews HackerNews

安全威胁纵横

2026年4月30日 16:38 湖北

在小说阅读器读本章

去阅读

高危漏洞

紧急修复指南

RCE Patch

一个严重漏洞影响了除最新版本之外的所有 cPanel 及 WebHost Manager（WHM）控制面板版本，该漏洞可被利用来在无需认证的情况下访问控制面板。

推测e

此安全问题目前编号为 CVE-2026-41940，严重程度评分达 9.8。官方已发布紧急更新，不过需手动运行一条命令来获取软件的补丁版本。

WHM 和 cPanel 归 WebPros International 所有，是基于 Linux 的虚拟主机控制面板，用于服务器和网站管理。其中，WHM 提供服务器级别的控制，而 cPanel 则让管理员能够访问网站后端、网页邮件和数据库。

这两款产品是应用最为广泛的主机控制面板之一，因其标准化界面、对非技术用户友好的操作方式，以及与常见主机堆栈的深度集成，深受众多主机提供商青睐。

目前尚未公开披露技术细节，但该问题的严重程度似乎相当高，例如 Namecheap 为保护客户，在补丁发布前暂时封锁了 WHM 和 cPanel 使用的 2083 和 2087 端口。

Namecheap 表示：“很遗憾告知您，cPanel 软件中发现了一个严重安全漏洞，影响所有当前受支持的版本。”

这家主机提供商称，该漏洞 “与一个身份验证登录漏洞相关，可能导致未经授权访问控制面板”。

在 Namecheap 发出通知几小时后，cPanel 发布安全公告，称以下产品版本已修复此安全问题：

• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20

厂商建议管理员执行命令 /scripts/upcp –force 来安装安全版本，该命令会运行 cPanel 更新进程，即便系统认为已处于最新版本，也会强制更新。

运行不受支持版本 cPanel 的服务器无法获得安全更新。在此情况下，建议管理员尽快升级到受支持的版本。

攻击者若获取 cPanel 访问权限，就能控制主机账户内的所有内容，包括网站、数据和邮件等。他们可利用此权限植入后门或网页外壳程序、将用户重定向到恶意网址、窃取敏感文件、发送垃圾邮件或网络钓鱼邮件，或从配置文件中收集密码。

而通过 WHM 能访问整个服务器及其托管的所有网站。这意味着威胁行为者可以创建和删除 cPanel 账户、在机器上建立持久访问权限，并将其用于各种恶意活动（如代理流量、发送垃圾邮件、传播恶意软件、组建僵尸网络等）。

使用受影响管理界面的网站所有者应确保已更新到打补丁的版本。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/cpanel-whm-emergency-update-fixes-critical-auth-bypass-bug/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《cPanel 与 WHM 紧急更新修复关键认证绕过漏洞》