文章总结: cPanel&WHM存在关键认证绕过漏洞CVE-2026-41940,攻击者可完全绕过登录机制获取root权限。该漏洞影响11.40之后所有版本,结合CRLF注入与会话令牌泄漏形成攻击链。安全团队已公开PoC代码,建议管理员立即强制更新至修补版本或采取临时封锁端口措施。 综合评分: 85 文章分类: 漏洞分析,应急响应,漏洞预警,解决方案,WEB安全
cPanel 0Day认证绕过漏洞遭野外利用,PoC已公开
FreeBuf
2026年5月1日 18:02 上海
在小说阅读器读本章
去阅读
#
全球网络托管行业正经历一场地震:cPanel & WHM 中被证实存在一个关键认证绕过漏洞(CVE-2026-41940),且已遭野外利用。该漏洞允许未认证攻击者完全绕过登录机制,可能获取托管控制面板的 root 权限。
安全团队 watchTowr 的研究人员已公开概念验证(PoC)利用代码,使得紧急修补的紧迫性急剧上升。
#
Part01
漏洞技术分析
该漏洞存在于 cPanel & WHM(含 DNSOnly 部署)的认证层。根据官方公告,它影响 11.40 之后的所有版本。考虑到 cPanel 在全球共享主机市场的主导地位,攻击面极其庞大。
漏洞本质上是 CRLF 注入与会话令牌泄漏的组合利用链,使攻击者无需有效凭证即可完成以下操作:
- 获取基础会话标识符
- 通过 HTTP 307 重定向泄漏有效的会话令牌
- 将原始令牌注入服务端缓存
- 最终获得 WHM root 权限
研究人员 Sina Kheirkhah 发布的检测工具展示了四步攻击链:
- 生成预认证会话,获取基础标识符
- 发送 CRLF 注入载荷(Basic 认证 + 无操作 cookie),通过 HTTP 307 泄漏有效令牌
- 触发 do_token_denied 请求,将原始令牌注入服务端缓存
- 访问 /json-api/version,确认获得 WHM root 权限
PoC 工具 authbypass-RCE.py 针对 2087 端口(WHM),可成功攻击 11.110.0.89 及更早版本。
Part02
紧急修补与缓解措施
cPanel 在观测到野外攻击后加速了补丁发布。最新修补版本包括:
- 11.86.0.41 / 11.110.0.97 / 11.118.0.63 / 11.126.0.54
- 11.130.0.19 / 11.132.0.29 / 11.134.0.20 / 11.136.0.5
- WP Squared 部署需升级至 136.1.7
管理员必须立即执行以下操作:
- 强制更新:
/scripts/upcp --force - 验证版本并重启服务:使用
/usr/local/cpanel/cpanel -V查看版本,执行/scripts/restartsrv_cpsrvd重启服务 - 手动更新:对于禁用自动升级的服务器(风险最高),需手动处理
若无法立即修补,建议采取以下临时措施:
- 通过防火墙封锁 2083、2087、2095、2096 端口
- 通过 WHM API 停止 cpsrvd 和 cpdavd 服务
目前,全球多家托管商已预防性下线 cPanel 控制面板。由于该漏洞可能暴露整个服务器生态系统(包括所有托管域名、邮件账户、数据库和文件系统),且 PoC 公开大幅降低了利用门槛,预计短期内会出现大规模扫描攻击。
参考来源:
cPanel 0-Day Authentication Bypass Vulnerability Actively Exploited in the Wild — PoC Released
cPanel 0-Day Authentication Bypass Vulnerability Actively Exploited in the Wild — PoC Released
推荐阅读
电报讨论
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《cPanel 0Day认证绕过漏洞遭野外利用,PoC已公开》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论