文章总结: 文档披露cPanel/WHM存在的CVE-2026-41940严重认证绕过漏洞,CVSS评分9.3,无需认证即可远程获取WHMroot权限并执行任意命令。影响11.40至补丁前所有版本,攻击利用CRLF注入伪造会话。建议立即执行强制升级或通过防火墙限制端口访问,并开启双因素认证加强防护。 综合评分: 85 文章分类: 漏洞分析,漏洞预警,应急响应,解决方案,WEB安全
漏洞速递|CVE‑2026‑41940 RCE漏洞(建议自查)
渗透Xiao白帽
2026年5月13日 09:42 北京
在小说阅读器读本章
去阅读
以下文章来源于潇湘信安 ,作者3had0w
潇湘信安 .
一个不会编程、挖SRC、代码审计的安全爱好者,主要分享一些安全经验、渗透思路、奇淫技巧与知识总结。
| Ima知识库名称 | 加入条件 | | — | — | | 潇湘信安协同知识库(更新~ing!) | 限时免费 | | 潇湘信安学习资料库(更新~ing!) | ≥3年粉丝 | | 潇湘信安内部知识库(更新~ing!) | 星球成员 |
2026 年 4 月 28 日,安全机构 watchTowr Labs 公开披露 cPanel/WHM 存在严重认证绕过漏洞,编号CVE‑2026‑41940,CVSS 评分高达9.3 分,属于Critical级别高危漏洞。
cPanel/WHM 是全球最主流的服务器管理面板,被数百万主机商、VPS 服务商、企业服务器广泛使用。该漏洞无需账号密码、无需前置条件,远程未认证攻击者即可直接获取 WHM root 权限,进而执行任意系统命令,一旦被利用,整台服务器与所有托管站点将完全沦陷。
目前 PoC 已公开,在野利用风险极高,所有在用 cPanel 用户请立即处置。
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
渗透Xiao白帽已关注
分享视频
,时长00:12
0/0
00:00/00:12
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
00:12
00:12
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
漏洞速递|CVE‑2026‑41940 RCE漏洞(建议自查)
观看更多
转载
,
漏洞速递|CVE‑2026‑41940 RCE漏洞(建议自查)
渗透Xiao白帽已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
视频来源:watchTowr Labs
一、漏洞简介
- 漏洞编号:CVE‑2026‑41940
- 漏洞类型:认证绕过 → 远程代码执行(RCE)
- CWE 分类:CWE‑306 关键功能未做认证
- CVSS 评分:9.3/10(Critical)
- 披露时间:2026‑04‑28
- 利用条件:远程、无需认证、公网可直接利用
- 核心危害:绕过登录验证,直接拿到 WHM 最高权限,执行任意系统命令、接管服务器。
简单说:不用密码,直接当 root。
二、影响范围
1. 受影响版本
cPanel & WHM 11.40 至补丁发布前所有版本,几乎覆盖当前全网在用的全部版本。
#
2. 修复版本
官方已在 2026‑04‑28 推送安全更新,对应修复版本如下:
110.0.x → 11.110.0.97118.0.x → 11.118.0.63126.0.x → 11.126.0.54132.0.x → 11.132.0.29134.0.x → 11.134.0.20136.0.x → 11.136.0.5
- 风险场景
- 共享主机/虚拟主机商:一台沦陷,全站遭殃
- VPS/云服务器:公网开放 2083/2087 端口即高危
- 企业Web服务器:直接拿到 root,数据、业务全暴露
- 域名/托管服务商:客户数据、站点、数据库全面失守
- 开发/测试环境:公网暴露同样可被一键入侵。
知名服务商 Namecheap 已紧急封锁端口、全量升级,足见风险等级。
三、漏洞原理
漏洞根源是登录流程存在 CRLF 注入缺陷,配合会话机制设计不当,导致未授权用户可伪造合法会话、拿到最高权限。
详细的漏洞分析可以看watchTowr Labs这篇文章:
https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/
完整攻击链
1、生成预认证会话
向 2083/2087 端口发起请求,无需凭据即可拿到基础会话令牌。
2、CRLF注入恶意头部
构造特殊 Basic Auth 头与无 ob 段的 Cookie,注入\r\n换行符,向会话文件写入伪造字段(如user=root、hasroot=1、tfa_verified=1)。
3、307重定向泄露安全令牌
服务器返回重定向,其中包含合法/cpsessXXXXXXX令牌,本应仅认证成功后发放。
4、触发do_token_denied同步缓存
访问无 token 的接口,强制程序读取原始会话文件并写入 JSON 缓存,让伪造权限生效。
5、获取 WHM root 权限
用泄露令牌访问 WHM API,直接返回 200,确认拿到最高管理权限,可执行任意命令。
一句话总结:CRLF 注入改会话文件 → 绕过认证 → 拿 root → 远程执行代码。
四、漏洞复现
python authbypass-RCE.py --target https://target:2087/ __ ___ ___________ __ _ ______ _/ |__ ____ | |_\__ ____\____ _ ________ \ \/ \/ \__ \ ___/ ___\| | \| | / _ \ \/ \/ \_ __ \ \ / / __ \| | \ \___| Y | |( <_> \ / | | \/ \/\_/ (____ |__| \___ |___|__|__ | \__ / \/\_/ |__| \/ \/ \/
watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py (*) cPanel/WHM Authentication Bypass - Detection Artifact Generator - Sina Kheirkhah (@SinSinology) of watchTowr (@watchTowrcyber) CVEs: [CVE-2026-Pending]
[0] hostname = [1] minting a preauth session... session base = :vQ2WC5Bexp0oFSa7[2] sending the CRLF injection (Basic auth + no-ob cookie)... HTTP 307, leaked token = /cpsess5691070609[3] firing do_token_denied to propagate raw -> cache... HTTP 401, gadget fired[4] verifying we're WHM root... /json-api/version -> HTTP 200 {"version":"11.110.0.89"}
五、修复方案
- 官方修复(强烈推荐)
直接执行强制升级,一步到位:
/usr/local/cpanel/scripts/upcp --force
验证是否升级成功:
/usr/local/cpanel/cpanel -V
- 临时缓解(未升级前紧急防护)
防火墙封锁 2083/2087 端口,仅允许管理员 IP 访问
iptables -A INPUT -p tcp --dport 2083 -j DROPiptables -A INPUT -p tcp --dport 2087 -j DROPiptables -I INPUT -p tcp -s 你的管理IP --dport 2083 -j ACCEPTiptables -I INPUT -p tcp -s 你的管理IP --dport 2087 -j ACCEPTiptables-save > /etc/iptables.rules
- 使用CSF防火墙:移除 TCP_IN 中的 2083/2087,仅放行信任 IP
- 反向代理拦截:过滤
%0d、%0a、\r、\n等 CRLF 字符,直接返回 403。
- 后续加固建议
- 为所有账户开启双因素认证(2FA)
- 审计登录日志:
/usr/local/cpanel/logs/login_log - 检查异常会话与 API 调用记录
- 定期巡检 cron 任务,排查可疑后门
- 托管商需同步通知客户,全面排查站点安全。
六、安全提醒
此漏洞利用门槛极低、PoC 公开、影响面极大,是 2026 年上半年最危险的服务器漏洞之一。
请所有 cPanel/WHM 用户立即升级,不要心存侥幸。服务器安全无小事,一次疏忽可能导致数据泄露、业务瘫痪、法律追责。
下载地址
点击下方名片进入公众号
回复关键字【260513】获取下载链接
网 安 考 证
需要考各类安全证书的可以扫码找我咨询,价格优惠、活动划算!
报名CISSP、CCSP、PTE、PTS、IRE、IRS、DSG、CCSK、CDSP、CZTP、ITIL4等符合活动标准的认证课程。
往期推荐 · 有彩蛋
【内网渗透】内网信息收集命令汇总
【内网渗透】域内信息收集命令汇总
【超详细 | Python】CS免杀-Shellcode Loader原理(python)
【超详细 | Python】CS免杀-分离+混淆免杀思路
【超详细 | 钟馗之眼】ZoomEye-python命令行的使用
【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现
【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞
【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现
【奇淫巧技】如何成为一个合格的“FOFA”工程师
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
【超详细】Fastjson1.2.24反序列化漏洞复现
记一次HW实战笔记 | 艰难的提权爬坑
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:渗透Xiao白帽 《漏洞速递|CVE‑2026‑41940 RCE漏洞(建议自查)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论