文章总结： cPanel披露CVSS评分9.3的史诗级漏洞CVE-2026-41940，攻击者通过CRLF注入构造4个HTTP请求即可绕过认证获取服务器root权限，影响全球约150万台服务器。建议立即更新至补丁版本或封锁2083、2087端口，并检查日志、修改密码、开启双因素认证。 综合评分： 85 文章分类： 漏洞分析,web安全,安全运营,应急响应,云安全

【安全警报】4个HTTP请求搞定root：cPanel史诗级漏洞殃及150万服务器

茶话君 茶话君

黑客茶话会

2026年5月8日 10:33 山东

在小说阅读器读本章

去阅读

2026年05月05日 08:20

【安全警报】4个HTTP请求搞定root：cPanel史诗级漏洞殃及150万服务器

作者：茶话君

2026年4月28日，全球Web托管行业被一颗”深水炸弹”炸懵了：cPanel官方紧急披露了一个CVSS评分9.3的史诗级漏洞CVE-2026-41940。攻击者只需要发送4个HTTP请求，无需任何凭据，就能绕过登录验证直接获得服务器的root权限。

更恐怖的是，这个漏洞从2026年2月就已开始在野利用，而CISA在4月29日下达的修复截止日期——5月3日——刚刚过去。

想象一下：你以为老老实实打补丁就没事了，结果攻击者已经拿着你的服务器当”肉鸡”跑了两个多月。

一、漏洞详解：cPanel的”自杀式登录逻辑”

CVE-2026-41940的根因，是一个藏在cPanel/WHM登录流程里的CRLF注入漏洞。攻击者通过构造特殊的Basic Auth认证头和cookie参数，往HTTP请求里注入恶意头部，直接把认证流程当空气。

整个攻击链只有7步：

第一步，攻击者给目标cPanel服务器发送一个精心构造的HTTP请求，在Basic Auth的密码字段里注入回车换行符（CRLF），同时在cookie里塞入no-ob参数，为后续攻击铺路。

第二步，服务器收到请求后，由于存在CRLF注入缺陷，攻击者注入的恶意头部会被服务器当作合法请求头处理。

第三步，服务器返回一个HTTP 307重定向响应，在这个重定向的响应头里，泄露了关键的cpsess会话令牌。

第四步，攻击者拿到泄露的会话令牌后，触发do_token_denied逻辑，完成从原始会话到缓存会话的”晋升”。

第五步，使用这个令牌访问WHM API接口。

第六步，由于绕过了所有认证检查，攻击者直接获得WHM的root权限。

第七步，root在手，天下我有——远程代码执行，想干啥干啥。

watchTowr Labs的安全研究员Sina Kheirkhah（@SinSinology）发布了完整PoC脚本，只需一条命令就能完成全部攻击流程。

二、影响评估：150万台服务器”裸奔”

cPanel是全球使用最广泛的Web托管控制面板，从共享主机到VPS再到企业服务器，数百万站点依赖它运行。这次漏洞的影响范围，堪称”核弹级”。

受影响版本从11.40到补丁发布前的所有版本几乎”全覆盖”，主要托管平台纷纷中招：ConHost、Bluehost、HostGator、A2 Hosting等主流主机商大量服务器均受影响。

攻击端口也非常明确：TCP 2083（cPanel用户界面）和TCP 2087（WHM管理员界面）。这两个端口直接暴露在公网上，等于给黑客留了扇敞开的门。

CISA在4月29日发出强制令，要求所有联邦机构在5月3日前完成修补——这意味着美国政府认定这个漏洞的威胁程度已经达到了”国家安全”级别。

三、为什么这个漏洞这么狠？

首先，它”不要脸”：CVSS 9.3的评分已经接近满分，核心原因是CWE-306——”关键功能未做认证”。说白了，cPanel把认证这么关键的事情做成了”马奇诺防线”，表面坚固，一绕就过。

其次，它”不要钱”：攻击者不需要购买任何高级工具，不需要知道任何服务器信息，只要有个能发HTTP请求的环境就能打。这直接把漏洞利用的门槛降到了地下室。

第三，它”不要命”：从2月到4月28日披露，攻击者已经”静默利用”了将近三个月。这段时间里，你的服务器可能已经被入侵、可能被植入了后门、可能已经成了僵尸网络的一员——但你一无所知。

第四，它”不要脸”：PoC已经公开。watchTowr Labs在GitHub上放出了完整利用脚本，任何具备基础黑客技能的人都能在几分钟内拿下目标服务器。

四、修复与防护：亡羊补牢，犹未晚否？

如果你现在还在运行cPanel服务器，别废话，马上做两件事：

第一，更新。执行以下命令：

/usr/local/cpanel/scripts/upcp –force

/usr/local/cpanel/cpanel -V

然后用/usr/local/cpanel/cpanel -V验证版本号，确认已经升级到最新补丁版本。各分支对应修复版本如下：11.136.0.5、11.134.0.20、11.132.0.29、11.130.0.19、11.126.0.54、11.118.0.63、11.110.0.97、11.86.0.41。

第二，封锁端口。如果暂时无法更新，立即用防火墙封锁2083和2087端口，只允许可信IP访问。

长期来看，建议在反代层增加对CRLF字符的检测和过滤，从源头堵住这个漏洞的”亲戚”再次利用的可能。

五、给你的服务器做一次”全身体检”

既然漏洞已经公开，类似的后门利用事件可能会在接下来几周内激增。作为站长或运维，你得赶紧行动：

第一，检查服务器访问日志，看4月28日之前有没有来自陌生IP的可疑请求，特别是那些带着奇怪Basic Auth头和cookie的HTTP请求。

第二，如果用的是共享主机，第一时间联系主机商，确认他们已经给服务器打上了补丁。别等到自己的网站被挂马了才发现。

第三，修改所有cPanel/WHM账户的密码，包括FTP、邮件、数据库等关联账户。攻击者可能已经通过漏洞获取了这些凭据。

第四，开启双因素认证。cPanel支持WebAuthn、FIDO2等多种无密码认证方案，能大幅提升账户安全性。

AI时代，漏洞就是武器

回顾最近几个月的安全事件，从Linux内核Copy Fail到cPanel认证绕过，漏洞的利用门槛正在以肉眼可见的速度下降。一个732字节的Python脚本就能root一台服务器，4个HTTP请求就能拿下150万台主机的控制权——这不是在危言耸听，这是2026年的安全新常态。

当AI大幅提升漏洞发现效率的同时，这些漏洞被武器化的速度也在加快。CVE-2026-41940从披露到PoC公开只用了不到48小时，而CISA的修复截止日期刚过一天。

留给”拖延症患者”的时间，真的不多了。

赶紧查一下你的服务器，打补丁、做体检，别等被黑客”体检”了才后悔莫及。

你是不是也曾遇到过服务器被黑的情况？欢迎在评论区分享你的经历，或者吐槽你见过的最离谱的漏洞利用。我们会精选优质留言送出自备礼品一份！

商务合作请私信

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客茶话会 茶话君 茶话君《【安全警报】4个HTTP请求搞定root：cPanel史诗级漏洞殃及150万服务器》