CVE-2026-41940: Unutar cPanela i WHM-a, zaobilaženje autentifikacije putem shakinga kod dijeljenog hostinga

Početna » piton » CVE-2026-41940: Unutar cPanela i WHM-a, zaobilaženje autentifikacije putem shakinga kod dijeljenog hostinga

Krajem aprila 2026. godine, istraživači sigurnosti otkrili su kritična greška u cPanelu i WHM-u koja je tiho pretvorila milione hosting servera u visokovrijedne meteGreška, koja se sada prati kao CVE‑2026‑41940, omogućava napadačima da zaobiđu uobičajene provjere prijave i na kraju dobiju ključeve za kontrolnu ploču hostinga — nije potrebna važeća lozinka.

Problem utiče na proizvod koji čini osnovu velikog dijela interneta: cPanel pokreće desetine miliona domena širom svijeta, s WebHost Managerom (WHM) koji provajderi koriste za upravljanje čitavim flotama korisničkih računa. Kada ista ranjivost pogodi i administrativnu ravan i korisničke kontrolne panele, radijus eksplozije je ogroman.

Šta su cPanel i WHM i zašto je ovaj bug toliko važan

Na visokom nivou, cPanel je web-bazirana kontrolna ploča koju korisnici hostinga koriste za upravljanje svojim pojedinačnim web-stranicama: postavljanje email računa, upload datoteka, podešavanje PHP verzija i tako dalje. WHM (WebHost Manager) se nalazi iznad toga, dajući hosting provajderima kontrolu na root nivou nad svim tim cPanel računima na serveru.

Drugim riječima, WHM je Administrativni interfejs sa privilegijama za cijeli sistem, dok je cPanel interfejs na nivou zakupca za svakog hostovanog klijenta. Ugrozite WHM i efektivno ugrozite svaku stranicu, bazu podataka i korisnika na toj mašini. Direktno ugrozite cPanel i posjedujete cijelo prisustvo tog klijenta.

Ranjiva komponenta u središtu CVE‑2026‑41940 je cpsrvd, demon cPanel servisaObrađuje HTTP(S) zahtjeve prema cPanelu i WHM-u, orkestrirajući rukovanje sesijama, autentifikaciju i sistem sigurnosnih tokena koji štiti privilegovane radnje, aspekte koje analizira... evolución de APIs y seguridad.

Na visokom nivou, cPanel je web-bazirana kontrolna ploča koju korisnici hostinga koriste za upravljanje svojim pojedinačnim web-stranicama: postavljanje email računa, upload datoteka, podešavanje PHP verzija i tako dalje. WHM (WebHost Manager) se nalazi iznad toga, dajući hosting provajderima kontrolu na root nivou nad svim tim cPanel računima na serveru.

Razumijevanje CVE-2026-41940: detaljan pregled zaobilaženja autentifikacije

Prodavci opisuju CVE‑2026‑41940 kao "Nedostaje autentifikacija za kritičnu funkciju", ali ispod haube se zapravo radi o tome kako cpsrvd kreira i ažurira datoteke sesije prije nego što se korisnik u potpunosti autentifikuje. Istraživači iz watchTowr Labsa i Rapid7-a su nezavisno raspakovali lanac problema koji, zajedno, dovode do pouzdanog zaobilaženja autentifikacije.

Kada klijent pokuša da se prijavi, cpsrvd kreira novu sesiju na disku čak i ako je lozinka pogrešnaOva sesija „preautorizacije“ pohranjuje metapodatke kao što su IP adresa, preliminarni cp_security_token, i neke zastavice koje prate stanje prijave. Naziv sesije se također odražava nazad klijentu u kolačiću pod nazivom whostmgrsession.

Taj kolačić sadrži dva dijela: osnovni identifikator i tajna po sesiji, odvojeni zarezom. Nakon dekodiranja URL-a, izgleda ovako:

• :RandomSessionID,32hexcharacters

Slučajni sufiks - često nazivan ob segment u kodu — djeluje kao ključ koji koristi Cpanel::Session::Encoder da se zamaskira pohranjeno polje za lozinku u datoteci sesije. Sve dok to ob Ako vrijednost postoji i koristi se dosljedno, vrijednost lozinke zapisana na disk je kodirana umjesto da se pojavljuje u otvorenom tekstu.

Problem počinje kada se logika sesije cpsrvd-a kombinuje sa HTTP Basic autentifikacijom. U ranjivom toku, cpsrvd parsira Authorization: Basic ... zaglavlje, dekodira vjerodajnice u user:pass, I prosljeđuje sirovu lozinku funkciji za spremanje sesije gotovo bez ikakvog čišćenjaOsim uklanjanja NUL bajtova, specijalni znakovi poput povratka valjka i prelaska u novi red (\r\n) ostaju netaknuti.

Ta lozinka se zatim predaje Cpanel::Session::saveSession, koji zapisuje datoteku sesije na jednostavan način key=value formatu, jedan unos po liniji. U starijim verzijama, kod je pretpostavljao da će lozinka uvijek biti kodiranai oslanjao se na pozivatelje da se sjete očistiti opasne znakove koristeći pomoćnu funkciju pod nazivom filter_sessiondataU praksi, nisu to učinili svi pozivaoci.

Kako exploit manipulira datotekama sesije kako bi dobio root pristup

Lanac iskorištavanja koji su otkrili watchTowr i drugi pokazuje kako se ovi dizajnerski izbori mogu pretvoriti u pouzdanu, neautentificiranu administratorsku prijavu. Opšta ideja je da se ubacite dodatne parove ključ-vrijednost u datoteku sesije na disku tako da, nakon ponovnog učitavanja, sesija izgleda kao da pripada potpuno autentificiranom root korisniku.

Napad se odvija u nekoliko faza:

1. Napravite sesiju prethodne autorizacijeNapadač šalje normalan pokušaj prijave na WHM interfejs (na primjer, na portu 2087) sa netačnim podacima za prijavu. cpsrvd odgovara greškom 401, ali također kreira novu datoteku sesije pod /var/cpanel/sessions/raw/ i skupovi a whostmgrsession kolačić koji sadrži :RandomSessionID,obhex.

2. Skinite ob tajna iz kolačićaU zahtjevu za naknadnu obradu, napadač ponovo šalje kolačić, ali izostavlja zarez i prateću heksadecimalnu vrijednost, ostavljajući samo :RandomSessionIDInterno, cpsrvd i dalje može pronaći odgovarajuću datoteku sesije, ali sada logika kodiranja sesije vidi praznu ob, tako potpuno preskače kodiranje polja za lozinku.

3. Ubrizgajte sirovo \r\n putem osnovne autorizacijeNapadač bira vjerodajnice tako da dekodirana lozinka izgleda kao kratki niz znakova nakon kojeg slijede prelomi redova i dodatni key=value parovi, na primjer:
   x\r\nhasroot=1\r\ntfa_verified=1\r\nuser=root\r\ncp_security_token=/cpsess9999999999\r\nsuccessful_internal_auth_with_timestamp=1777462149

   jer CRLF filtriranje se ne primjenjuje prije pisanja sesije, one \r\n bajtovi se interpretiraju kao prelomi redova. Nakon što se popune na disk, datoteka sesije sada sadrži prave linije najvišeg nivoa kao što su hasroot=1, user=root i successful_internal_auth_with_timestamp=....

4. Rješavanje problema s JSON keš memorijomPodrazumevano, cpsrvd ne čita uvijek direktno iz te sirove tekstualne datoteke. Da bi ubrzao stvari, on također čuva JSON-kodiranu keš memoriju istih podataka sesije pod paralelnim... cache/ direktorij. Kada je sesija prvi put kreirana, keš memorija nije sadržavala krivotvorene ključeve najvišeg nivoa napadača, a sljedeća učitavanja preferiraju ovu keš memoriju.

5. Prisilno ponovno učitavanje iz sirove datotekeDa bi ubrizgane linije bile „vidljive“ za kasnije zahtjeve, napadač mora pokrenuti kod koji ponovo analizira sirovu sesiju i prepisuje keš memoriju. Istraživači su pronašli upravo takav put u Cpanel::Session::Modify, koji čita iz sirove datoteke kada mu je naloženo da ne koristi keš memoriju, a zatim prepisuje i tekstualnu datoteku i JSON snimak.

6. Pokreni putanju za koju je token odbijen. Funkcija do_token_denied, poziva se kada zahtjev nedostaje ili prikazuje nevažeću cp_security_token, koristi Session::Modify povećati a token_denied brojač u sesiji. To je upravo ponašanje koje napadač želi: ponovo analizira sirovu sesiju (uključujući ubrizgane ključeve) i sprema ažuriranu strukturu nazad u keš memoriju..

Nakon izazivanja odgovora „Token odbijen“ posjetom privilegovanom URL-u bez ikakvih cpsess... prefiks, ažurirana predmemorija sada prikazuje unose poput hasroot=1, tfa_verified=1, user=root i successful_internal_auth_with_timestamp kao prvoklasni atributi heša sesije.

Od tog trenutka, kad god cpsrvd učita ovu sesiju za sljedeće zahtjeve, tretira vezu kao povezanu s root računom, sa Dvofaktorske provjere označene kao uspješne i odobrene mogućnosti na korijenskom nivouKljučno je da se provjere lozinki nizvodno tiho izbjegavaju.

Zašto se validacija lozinke u potpunosti preskače

Čak i nakon što je ubrizgano stanje sesije uspostavljeno, cpsrvd i dalje poziva svoje uobičajene rutine autentifikacije za svaki novi zahtjev. U normalnim okolnostima, ove rutine upoređuju prikazanu lozinku sa odgovarajućim unosom u /etc/shadow ili neki drugi back-end, odbijajući pristup ako su akreditivi pogrešni.

Razlika u ovom slučaju je par vremenskih oznaka koje se prate unutar sesije: successful_external_auth_with_timestamp i successful_internal_auth_with_timestampOva polja su namijenjena za evidentiranje da je korisnik uspješno autentificiran putem vanjskog ili internog mehanizma.

Kada je jedna od ovih vremenskih oznaka prisutna i nije prazna, putanja koda u docheckpass_whostmgrd predaje kontrolu pomagaču koji odmah vraća „AUTH_OK“, bez konsultacija /etc/shadow ili uopće validiranje unesene lozinke. Pretpostavka je da je prethodni, pouzdani korak autentifikacije već izvršio potrebne provjere.

Ubrizgavanjem uvjerljive vrijednosti u successful_internal_auth_with_timestamp i pretvarajući ga u ključ sesije najvišeg nivoa, napadač efektivno postavlja trajnu zastavicu „već autentificirano“ za vrijeme trajanja te sesijeSvaki sljedeći HTTP zahtjev koji referencira ovaj ID sesije tretira se kao autentificiran, s root dozvolama ako hasroot=1 je takođe prisutan.

Ta kombinacija - krivotvoreni korisnički identitet, root privilegije i zaobilaženje provjera lozinki - razlog je zašto CVE‑2026‑41940 postiže tako visoku ocjenu na skali ozbiljnosti i opisuje se kao zaobilaženje autentifikacije, a ne samo kao eskalacija greške.

Zakrpe dobavljača i promjene u rukovanju sesijama

Nakon što je ranjivost otkrivena, dobavljač cPanela, WebPros International, poslane zakrpe za sve trenutno podržane graneU savjetodavnom savjetu istaknute su ispravke u sljedećim verzijama:

• cPanel i WHM 110.0.x – zakrpa u 11.110.0.97 (prethodno 11.110.0.96)
• cPanel i WHM 118.0.x – zakrpa u 11.118.0.63 (prethodno 11.118.0.61)
• cPanel i WHM 126.0.x – zakrpa u 11.126.0.54 (prethodno 11.126.0.53)
• cPanel i WHM 132.0.x – zakrpa u 11.132.0.29 (prethodno 11.132.0.27)
• cPanel i WHM 134.0.x – zakrpa u 11.134.0.20 (prethodno 11.134.0.19)
• cPanel i WHM 136.0.x – zakrpa u 11.136.0.5 (prethodno 11.136.0.4)

Prema dokumentaciji prodavca, Sva podržana izdanja nakon otprilike v11.40 su bila dostupna prije ovih ažuriranja, kao i neke hosting platforme izgrađene na cPanelu, kao što su kasnije verzije WP Squareda.

U suštini, cPanel inženjeri su izmijenili logiku rukovanja sesijama na nekoliko ključnih načina:

• Centralizirana sanitacija - u filter_sessiondata funkcija koja uklanja rizične znakove kao što su \r, \n, = i zareze iz unosa sesije, sada se interno poziva iz saveSession sam, umjesto da se oslanja na svakog pozivaoca da ga ispravno koristi.
• Strožije postupanje sa ob tajna – zakrpani kod potvrđuje da ob Komponenta kolačića je definirana i nije prazna prije korištenja. Ako je prisutna, lozinka se kodira kao i prije; ako nedostaje, vrijednost je sada označena i heksadecimalno kodirana na način koji sprječava ubrizgavanje sirovih kontrolnih znakova.
• Sigurniji kružni prijenos podataka – nove pomoćne funkcije u Cpanel::Session::Encoder uvesti eksplicitne primitive za kodiranje i dekodiranje vrijednosti sesije samo u heksadecimalnom formatu, smanjujući rizik od zapisivanja nepouzdanih stringova na disk bez promjena.

Ove prilagodbe zajedno imaju za cilj da zatvorite putanju gdje neispravno oblikovani kolačić potiskuje kodiranje lozinke i gdje nefiltrirani CRLF nizovi mogu oblikovati strukturu datoteka sesijeOni fundamentalno ne mijenjaju oslanjanje cPanela na sesije kao mašinu stanja među zahtjevima, ali ojačavaju taj mehanizam protiv specifičnog zaobilaženja opisanog u javnom istraživanju.

Eksploatacija u stvarnom svijetu i vremenski okvir otkrivanja

Jedan od zabrinjavajućih aspekata CVE‑2026‑41940 je taj što Izgleda da su napadači to iskorištavali prije nego što su objavljeni detaljni izvještaji.Pružatelj usluga upravljanog hostinga KnownHost prijavio je pokušaje iskorištavanja već 23. februara 2026. godine, što sugerira da su barem neki akteri prijetnji samostalno otkrili grešku.

WebPros je objavio svoje službeno sigurnosno upozorenje 28. aprila 2026. godine, a ubrzo nakon toga objavio je i ažurirane verzije. Pružatelji hostinga koji su privatno obaviješteni odgovorili su brzim blokiranjem pristupa cPanel i WHM portovima za prijavu na svojim mrežama., a zatim uvođenje zakrpa u većem broju.

Izvještaji o procesu otkrivanja informacija se neznatno razlikuju. Izvori koje citiraju mediji iz industrije ukazuju na to da je problem možda bio prijavljeno cPanelu otprilike dvije sedmice prije javnog savjetovanja, i da je početni odgovor umanjio ili nije u potpunosti priznao problem. Nije jasno da li je prvobitni izvjestitelj već bio svjestan zlostavljanja u prirodi u to vrijeme.

Razlika između početnih izvještaja, vidljive eksploatacije i širokih javnih smjernica izazvala je pitanja kod nekih operatera o kako se informacije o ranjivostima hostinga visokog utjecaja dijele s dobavljačima usluga nižeg nivoaU ovom slučaju, nekoliko hosting kompanija je reklo da bi više voljele ranije i eksplicitnije komuniciranje rizika i mjera ublažavanja dok su se zakrpe još uvijek pripremale.

Ubrzo nakon obavještenja, Američka agencija za sajber sigurnost i sigurnost infrastrukture (CISA) dodao CVE‑2026‑41940 u svoj katalog poznatih iskorištenih ranjivosti, što efektivno čini pravovremenu sanaciju obaveznim za mnoge vladine i regulirane subjekte. Shadowserver Foundation je izvijestio da je primijetio desetine hiljada jedinstvenih IP adresa koje skeniraju i pokušavaju iskoristiti honeypot-ove, uz stotine hiljada izloženih cPanel/WHM krajnjih tačaka širom interneta.

Potencijalni uticaj uspješnog kompromisa

Ako se CVE‑2026‑41940 uspješno iskoristi, posljedice se protežu daleko izvan jednog korisničkog računa. Kao što je navedeno u analizi Rapid7-a, Napadač može dobiti potpunu kontrolu nad cPanel host sistemom, uključujući konfiguraciju servera, baze podataka i sve web stranice kojima upravlja ta instanca.

Sa pristupom WHM-u na root nivou, napadač može, na primjer:

• Izmijenite ili zamijenite sadržaj web stranice na svim hostovanim računima
• Prikupljanje ili neovlašteno mijenjanje baza podataka koje sadrže podatke o korisnicima ili aplikacijama
• Postavite webshell-ove i backdoor-ove za dugoročnu perzistenciju
• Raspoređivanje zlonamjernog softvera ili phishing stranica u velikim količinama, zloupotrebljavajući reputaciju servera
• Rotirajte kroz domene i korisničke račune kao početne tačke za dalje napade

Oni također dobijaju uvid u akreditivi na nivou servera, konfiguracijske datoteke i potencijalno API ključevi koji se mogu povezati s vanjskim servisima. U okruženjima dijeljenog hostinga s više zakupaca, ta površina za napad može brzo rasti, posebno u kombinaciji sa slabom segregacijom između računa ili zastarjelim web aplikacijama.

Neki provajderi koji su pažljivo pratili pokušaje eksploatacije na svojim mrežama, opisali su početne sonde više kao istraživačke nego destruktivne - više kao "da li ovo funkcioniše?" nego kao "brisanje sistema". Ipak, Isti pristup bi se prilično lako mogao prenamijeniti za ransomware, masovno uništavanje podataka, krađu podataka ili kompromitiranje lanca snabdijevanja. ako monetizacija ili poremećaj postanu cilj.

Koje verzije i platforme su pogođene

Prema smjernicama dobavljača i nezavisnim izvještajima, sva izdanja cPanela i WHM-a nakon verzije 11.40 bili su ranjivi sve dok nisu dobili ispravke od 28. aprila. To uključuje brojne dugotrajne grane koje se i dalje koriste na produkcijskim serverima širom svijeta.

Sigurnosne napomene i savjeti za hosting ističu da sljedeće grane potrebna ažuriranja da se riješi problem:

• Verzije prije 11.86.0.41
• Verzije prije 11.110.0.97
• Verzije prije 11.118.0.63
• Verzije prije 11.126.0.54
• Verzije prije 11.130.0.19
• Verzije prije 11.132.0.29
• Verzije prije 11.134.0.20
• Verzije prije 11.136.0.5

Za svaku od ovih verzija, od administratora se očekuje da koriste odgovarajuće zakrpe (kao što su 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 i 11.136.0.5) kako bi bili zaštićeni od ove specifične ranjivosti.

Pored osnovnih instalacija cPanela i WHM-a, upravljane platforme koje ugrađuju cPanel kao komponentu — na primjer, WP Squaredova ponuda upravljanog WordPress hostinga — također je bila pogođena i morala je objaviti vlastita ažuriranja na osnovu prethodno dostupnih ispravki.

Koraci za ublažavanje za administratore i pružatelje usluga hostinga

S obzirom na kombinaciju aktivne eksploatacije i široke izloženosti, administratori se pozivaju da tretirati ispravljanje zakrpa za CVE‑2026‑41940 kao prioritetPreporuke dobavljača i nezavisnih stručnjaka uglavnom predlažu sljedeće korake:

• Ažuriranje na zakrpljenu verziju cPanela i WHM-a na svakom pogođenom serveru. Nakon nadogradnje, provjerite da li se broj verzije podudara s jednim od ispravljenih izdanja navedenih u sigurnosnom savjetu.
• Ponovo pokrenite cpsrvd uslugu (i povezane komponente poput cpdavd) kako bi se osiguralo da su sve promjene primijenjene i da u memoriji ne ostanu preostali ranjivi procesi.
• Ograničite javni pristup upravljačkim portovima gdje god je to izvodljivo. To obično znači ograničavanje izloženosti portova 2083, 2087, 2095 i 2096 određenim administrativnim mrežama ili VPN-ovima, umjesto da budu otvoreni za cijeli internet.
• Implementirajte privremena pravila zaštitnog zida ili filtriranje uzvodno kako bi se blokirali poznati zlonamjerni IP rasponi ili neobični obrasci skeniranja povezani s ispitivanjem cPanela/WHM-a.
• Pokretanje skripti za detekciju koje je dostavio dobavljač za pretraživanje poznatih indikatora kompromitovanja (IoC), kao što su sumnjive datoteke sesije ili neočekivane administratorske prijave.

Hosting kompanije koje su brzo reagovale izvijestile su da su ove akcije provele otprilike tim redoslijedom: prvo blokiraju dolazni pristup prijavnim interfejsima kako bi kupili vrijeme, zatim proslijede zakrpljene pakete, ponovo pokrenu servise i tek onda postepeno ponovo otvore pažljivo filtrirani pristup za upravljanje.

Pored smjernica dobavljača, mnogi sigurnosni timovi kombinuju praćenje površine vanjskog napada s aktivnim testiranjem kako bi se potvrdilo da izložene cPanel instance više nisu ranjive. Neki su usvojili alate koji mogu generirati nedestruktivne sonde posebno za CVE‑2026‑41940, što im omogućava da razlikuju zakrpljene i nezakrpljene implementacije u velikim flotama bez izazivanja nestabilnosti na produkcijskim serverima.

Na šta bi sigurnosni timovi trebali obratiti pažnju u budućnosti

Iz perspektive branioca, CVE‑2026‑41940 služi kao podsjetnik da Naizgled male pretpostavke u upravljanju sesijom mogu imati velike posljedice kada se kombinuju i pokreću iz nepouzdanog unosa. Greška takođe naglašava koliko dugo ozbiljna greška može ostati prisutna kada se odnosi na složene tokove autentifikacije koji su se razvijali tokom mnogih izdanja.

U budućnosti, timovi odgovorni za implementaciju cPanela i WHM-a možda će htjeti:

• Zapisivanje pregleda i obavještavanje oko prijava na WHM/cPanel, posebno za obrasce poput ponovljenih odgovora „Token odbijen“ nakon kojih slijede naizgled uspješne administrativne sesije.
• Ojačajte pristupne staze provođenjem pristupa kontrolnim panelima samo putem VPN-a ili ograničenog IP-a, te izbjegavanjem direktnog izlaganja upravljačkih interfejsa gdje je to operativno moguće.
• Ponovo procijenite oslanjanje na dugotrajne sesije, posebno one koje efektivno zaobilaze validaciju lozinke nakon što se postave određene zastavice, i razmatraju kraće trajanje sesije ili strožiju ponovnu autentifikaciju za osjetljive radnje.
• Usvojite kontinuirano sigurnosno testiranje unutar i izvan mreže, tako da se nove ranjivosti u zajedničkim kontrolnim ravnima otkrivaju i brže saniraju.

Za vlasnike manjih web stranica i agencije koje jednostavno iznajmljuju hosting, veliki dio teškog posla je na njihovim provajderima, ali ipak vrijedi potvrditi da Osnovno cPanel okruženje je ažurirano i interfejsi za upravljanje nisu nepotrebno izloženiTamo gdje pružatelji usluga dijele pravovremena ažuriranja statusa i tehničke detalje, korisnici su u boljoj poziciji da procijene rizik i reaguju ako se pojave problemi.

Kako se prašina postepeno sleže, CVE‑2026‑41940 će vjerovatno još neko vrijeme biti spominjan kao primjer kako se duboko isprepletene komponente poput kolačića, datoteka sesije, slojeva keširanja i sigurnosnih tokena mogu suptilno zloupotrebljavati — i kako, kada se ti dijelovi poravnaju, Jednostavan HTTP zahtjev može se tiho pretvoriti u potpunu administrativnu kontrolu nad cijelim serverom dijeljenog hostinga.

Vezani članak:

Evolucija API-ja: Nove granice u integraciji, sigurnosti i agentskoj umjetnoj inteligenciji