文章总结： 文档披露cPanel&WHM系统CVE-2026-41940高危漏洞（CVSS9.8），攻击者可通过CRLF注入篡改会话文件实现未授权root权限获取。漏洞影响11.40后所有版本，已存在野外利用。建议紧急升级至安全版本或临时封禁2083/2087端口，并提供PythonPOC工具用于检测。 综合评分： 76 文章分类： 漏洞分析,漏洞POC,WEB安全,应急响应,红队

CVE-2026-41940 POC

原创

MobSec MobSec

莫白AI安全团队

2026年5月7日 10:58 天津

在小说阅读器读本章

去阅读

免责声明

1. 1. 本公众号发布的网络安全工具、POC 脚本、技术文章等内容，仅面向具备合法授权的网络安全从业人员、技术爱好者用于合法合规的渗透测试、安全研究、漏洞验证及技术学习交流，严禁用于任何未经授权的非法攻击、入侵他人网络或信息系统的行为。
2. 2. 任何单位或个人在使用本公众号内容前，必须确保已获得目标系统的合法授权，并严格遵守《网络安全法》《数据安全法》《个人信息保护法》等国家相关法律法规及行业规范，独立承担因违规使用所产生的全部法律责任、经济损失及一切后果，与本公众号及作者无关。
3. 3. 本公众号发布的内容仅为技术研究与分享，不构成任何攻击指导、非法用途的暗示或诱导。所有工具及 POC 的安全性、稳定性未经全面验证，仅供学习参考，使用者需自行评估风险并承担使用后果，本公众号及作者不承担任何因工具使用不当、漏洞利用失误导致的直接或间接损失。
4. 4. 本公众号尊重并保护各类知识产权，发布的内容若涉及第三方技术、工具或资料，均已注明来源或基于合法授权。若存在侵权行为，请及时联系作者删除，任何未经授权的转载、篡改、传播本公众号内容的行为，需自行承担相应法律责任。
5. 5. 凡浏览、关注本公众号或使用本公众号内容者，即视为已充分理解并同意本免责声明全部条款。若您不同意本声明，请勿使用本公众号任何内容。

一、概述

2026 年 4 月 28 日，cPanel 发布安全更新，修复 cPanel & WHM、WP Squared 高危严重漏洞。官方描述为会话加载与保存逻辑缺陷。

2026 年 4 月 29 日分配漏洞编号 CVE-2026-41940，CVSS 评分 9.8 满分高危。

• • 未授权远程攻击者 无需登录
• • 可绕过身份认证，直接获取服务器管理员权限
• • cPanel 官方已发布厂商安全公告

• cPanel & WHM 是主流主机面板：

• • WHM：服务器 root 级后台管理
• • cPanel：普通用户网站管理前台漏洞利用成功后，攻击者可完全控制服务器、配置、数据库、所有托管网站。通过 Shodan 检索，全网约 150 台cPanel 设备暴露公网，存在受险可能。

知名主机厂商 KnownHost 证实：

该漏洞已在野外被实际利用，有迹象早在 2026 年 2 月 23 日（公开披露前）就已有0 日定向攻击。

安全厂商 watchTowr 已公开技术分析 + POC 利用代码，后续大概率会大规模泛滥攻击。

二、技术原理

对外暴露 cPanel 相关 Web 服务的设备默认就受影响。

漏洞根因：登录与会话加载流程中存在 CRLF 换行注入漏洞。

1. 1. cPanel 核心服务 cpsrvd，在用户认证之前就会向磁盘写入会话文件；
2. 2. 攻击者篡改 whostmgrsession Cookie，省略 Cookie 固定字段，绕过常规加密校验；
3. 3. 攻击者通过 Basic 授权请求头 注入原生 \r\n 换行符；
4. 4. 服务端未做输入净化，直接把恶意内容写入会话文件；
5. 5. 攻击者可在会话文件中注入任意属性，例如 user=root；
6. 6. 重新加载会话后，直接拿到管理员 /root 权限，完成身份绕过。

三、缓解修复建议

1. 1. 自建机房 / 独立部署的 cPanel & WHM、WP Squared 紧急升级到修复版本；
2. 2. 部分服务商临时封禁 2083、2087 端口（cPanel/WHM 网页端口）做临时应急；
3. 3. 强烈建议直接打补丁，不推荐仅靠端口封堵做长期防护。

四、受影响版本

11.40 之后所有版本均受影响，以下为各分支修复基线版本，低于这些版本都有漏洞：

• • cPanel & WHM 11.86.0  < 11.86.0.41
• • cPanel & WHM 11.110.0 < 11.110.0.97
• • cPanel & WHM 11.118.0 < 11.118.0.63
• • cPanel & WHM 11.126.0 < 11.126.0.54
• • cPanel & WHM 11.130.0 < 11.130.0.19
• • cPanel & WHM 11.132.0 < 11.132.0.29
• • cPanel & WHM 11.134.0 < 11.134.0.20
• • cPanel & WHM 11.136.0 < 11.136.0.5
• • WP Squared 全版本 < 136.1.7

五、资产检测

InsightVM、Nexpose、Exposure Command 等漏洞扫描器，在 2026-04-30 规则库更新 后，已支持授权检测该漏洞。

POC

获取shell

python watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py --target https://目标IP:2087 shell

工具获取

后台私信CVE-2026-41940

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：莫白AI安全团队 MobSec MobSec《CVE-2026-41940 POC》