#news Событие недели от мира хостинговой инфраструктуры: в контрольной панели cPanel & WHM закрыли критическую уязвимость на обход аутентификации. Во всех версиях. И с активным эксплойтом в качестве нулевого дня с февраля.
CVE-2026-41940, 9.8 по CVSS: На официальном это “некорректная обработка сессий, где пользовательские данные записываются в файлы сессий на стороне сервера перед аутентификацией и без санитизации”. На неофициальном звучит в основном непечатное в формате “Как это попало в прод-то, вы что, совсем там ту-ту-ру?!” Юзер произвольно пишет в файлы сессий pre-auth и получает админку. И это не на школьном проекте вида “Мой первый сервер”, а на панели, на которой 70+ миллионов доменов висят. Как можно догадаться, админы в полном восторге. Почитать разбор уязвимости в этот погожий выходной денёк можно в блоге watchTowr, а админам соболезнуем.
