Киберпреступники активно используют опасную уязвимость CVE-2026-41940 в системах cPanel и WebHost Manager (WHM) — программном обеспечении для управления веб-хостингом, которое применяют десятки миллионов владельцев сайтов по всему миру. Эта ошибка позволяет удалённо обойти экран входа в систему и получить полный доступ к административной панели, а вместе с ней — ко всем сайтам, почтовым ящикам, базам данных и настройкам сервера. Крупные хостинг-компании уже установили необходимые исправления.
Источник изображения: Wesley Tingey / unsplash.com
Проблема касается всех поддерживаемых версий cPanel и WHM. Оба пакета предоставляют широкий доступ к серверам: они управляют размещёнными сайтами, электронной почтой и важнейшими настройками доменов. Взлом такого ПО даёт злоумышленнику практически неограниченный контроль над всеми обрабатываемыми данными. Разработчик cPanel рекомендовал клиентам самостоятельно проверить установку обновлений, даже если их хостинг-провайдер уже применил патчи.
Канадский центр кибербезопасности (Canadian Centre for Cyber Security) в своём бюллетене предупредил, что уязвимость может привести к компрометации сайтов на серверах общего хостинга, включая крупных провайдеров. Ведомство отметило, что «эксплуатация весьма вероятна», и потребовало от клиентов cPanel и их хостинг-провайдеров немедленно принять меры для предотвращения несанкционированного доступа.
Хостинг-провайдер Namecheap сообщил, что заблокировал доступ к панелям cPanel сразу после получения информации об уязвимости — это позволило предотвратить атаки и выиграть время для установки обновлений. HostGator также установил исправления и назвал проблему «критической уязвимостью обхода аутентификации».
Один из хостинг-провайдеров обнаружил, что злоумышленники использовали уязвимость за несколько месяцев до её публичного раскрытия. Генеральный директор KnownHost Дэниел Пирсон (Daniel Pearson) написал на Reddit, что компания зафиксировала попытки эксплуатации ещё 23 февраля. KnownHost также временно заблокировал доступ к клиентским системам перед установкой обновлений.
По словам Пирсона, около 30 серверов в сети компании зафиксировали попытки несанкционированного доступа. Он подчеркнул, что речь идёт именно о попытках, и признаков успешного взлома обнаружено не было. Разработчик cPanel также выпустил обновление безопасности для WP Squared — аналогичного инструмента для управления сайтами на WordPress.
