文章总结： CISA发布紧急警报称cPanel和WHM存在身份验证绕过漏洞CVE-2026-41940，攻击者可绕过登录直接获取控制面板权限，导致数据窃取或恶意软件部署。该漏洞已被积极利用，CISA要求联邦机构5月3日前修复，并建议所有组织立即打补丁或停用受影响产品。 综合评分： 88 文章分类： 漏洞预警,应急响应,解决方案,WEB安全,云安全

CISA 警报强调 cPanel 和 WHM 安全漏洞正被积极利用

原创

ZM ZM

暗镜

2026年5月5日 08:01 北京

在小说阅读器读本章

去阅读

美国网络安全和基础设施安全局 (CISA) 已就影响 WebPros cPanel & WebHost Manager (WHM) 和 WP2 (WordPress Squared) 的严重安全漏洞发出警报。

2026 年 4 月 30 日，CISA 正式将此漏洞添加到其已知利用漏洞 (KEV) 目录中，确认恶意行为者正在现实世界的攻击中积极利用该漏洞。

身份验证绕过漏洞

该漏洞被追踪为 CVE-2026-41940，被认定为“关键功能缺少身份验证”漏洞。

它被归类为 CWE-306，该标准描述的是软件在授予对敏感功能的访问权限之前未能验证用户身份。

具体来说，该漏洞存在于受影响的WebPros软件的登录流程中。由于存在严重的身份验证绕过漏洞，远程攻击者可以完全绕过标准的登录过程。

这使得他们无需有效的用户名或密码即可获得对控制面板的未经授权的直接访问。

WebHost Manager 和 cPanel 是主机提供商用于管理 Web 服务器、创建用户帐户和维护数据库的基础工具。未经授权访问这些控制面板将使攻击者获得对服务器环境的广泛管理控制权。

一旦入侵成功，威胁行为者就可以更改网站配置、窃取敏感数据库信息，或在托管域中部署恶意载荷。

目前，CISA指出尚不清楚该漏洞是否已被用于正在进行的勒索软件攻击活动中。然而，网络遭受严重攻击的风险仍然极高。

根据具有约束力的操作指令 (BOD) 22-01，CISA 要求所有联邦民事行政部门机构在 2026 年 5 月 3 日之前保护其系统免受此漏洞的影响。

虽然这一严格的最后期限适用于联邦网络，但 CISA 强烈敦促私营组织、托管公司和独立网站管理员以同样的紧迫感来处理这一缺陷。

管理员必须立即按照供应商的官方说明应用所有安全补丁和缓解措施。

如果一个组织使用这些云服务但无法应用必要的更新，CISA 明确建议完全停止使用该产品，直到有安全的解决方案可用为止。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《CISA 警报强调 cPanel 和 WHM 安全漏洞正被积极利用》