Добавить в корзинуПозвонить
Найти в Дзене
Пока не взломали
78 подписчиков

cPanel & WHM закрыли критичный CVE-2026-41940

1
1 мин
По данным исследователей, дыру уже дёргали вживую, возможно ещё с февраля. Shared-хостинг снова напоминает коммуналку: один плохой замок — и внезапно открывается не одна дверь, а весь этаж. Технически баг сидит в логике сессий. До нормальной авторизации cpsrvd создавал pre-auth session file, а дальше через криво обработанные cookie и заголовки можно было подсунуть в эту сессию лишние свойства. В плохом сценарии — что-нибудь уровня user=root. Потом сессия перечитывается, кэшируется, и вот у нас уже не «неудачная попытка входа», а административный доступ без пароля. Красиво? Да. Противно? Тоже да. Панель хостинга — это не просто «морда для клиента». Там сайты, базы, почта, DNS, токены, реселлеры, конфиги. Если WHM забрали, дальше можно не фантазировать: веб-шеллы, новые пользователи, бэкапы, редиректы, мусор в cron и маленький филиал ада для саппорта. Лечится не молитвой и не сменой пароля. Нужно срочно обновить cPanel & WHM до исправленной ветки: 11.86.0.41, 11.110.0.97, 11.118.0.

cPanel & WHM закрыли критичный CVE-2026-41940

По данным исследователей, дыру уже дёргали вживую, возможно ещё с февраля.

Shared-хостинг снова напоминает коммуналку: один плохой замок — и внезапно открывается не одна дверь, а весь этаж.

Технически баг сидит в логике сессий. До нормальной авторизации cpsrvd создавал pre-auth session file, а дальше через криво обработанные cookie и заголовки можно было подсунуть в эту сессию лишние свойства. В плохом сценарии — что-нибудь уровня user=root. Потом сессия перечитывается, кэшируется, и вот у нас уже не «неудачная попытка входа», а административный доступ без пароля.

Красиво? Да. Противно? Тоже да.

Панель хостинга — это не просто «морда для клиента». Там сайты, базы, почта, DNS, токены, реселлеры, конфиги. Если WHM забрали, дальше можно не фантазировать: веб-шеллы, новые пользователи, бэкапы, редиректы, мусор в cron и маленький филиал ада для саппорта.

Лечится не молитвой и не сменой пароля.

Нужно срочно обновить cPanel & WHM до исправленной ветки: 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20, 11.136.0.5 или новее. Для WP Squared — 136.1.7.

Команда скучная, но сейчас как раз тот случай, когда скучное спасает прод:

/scripts/upcp --force

/usr/local/cpanel/cpanel -V

/scripts/restartsrv_cpsrvd --hard

Если обновиться прямо сейчас нельзя, закрывайте снаружи порты 2083, 2087, 2095, 2096 и останавливайте cpsrvd/cpdavd до патча. Да, пользователи будут недовольны. Но пользователи с украденными сайтами обычно недовольны громче.

После обновления стоит не просто выдохнуть, а пройтись по логам входов, новым аккаунтам, API-токенам, cron, подозрительным изменениям в сайтах и конфигам. У cPanel ещё и detection script временно убирали из advisory из-за доработок, так что «скрипт ничего не нашёл» сейчас не индульгенция.

Панель управления хостингом, торчащая в интернет без ограничений по IP, снова доказала: удобство для админа очень часто оказывается удобством для всех остальных.