Technologia

Błąd logowania zostawił 70 milionów stron cPanel otwartych dla każdego

Lukę wykorzystywano już zanim cPanel zdążył wypuścić łatkę. Najwięksi dostawcy hostingu odcięli dostęp do portów administracyjnych podczas wdrażania aktualizacji — reszta internetu nadal nadrabia zaległości.
Błąd logowania zostawił 70 milionów stron cPanel otwartych dla każdego
cPanel bug
Susan Hill
29 kwietnia 2026

Krytyczny błąd umożliwiający obejście uwierzytelniania w cPanel i WHM pozwalał napastnikom wejść głównymi drzwiami do dowolnego panelu sterowania wystawionego do internetu, bez nazwy użytkownika ani hasła. Podatność, oznaczona jako CVE-2026-41940 z oceną CVSS 9,8 na 10, dotyczy wszystkich obsługiwanych wersji oprogramowania, które obsługuje około 70 milionów domen na świecie. Badacze bezpieczeństwa potwierdzają, że gdy ukazała się awaryjna łatka, w obiegu krążyły już aktywne exploity — dla wielu hostów pytanie brzmi już nie czy ich serwery były podatne, lecz czy zostały skompromitowane zanim aktualizacja zdążyła zostać zainstalowana.

Luka tkwi w logice ładowania i zapisywania sesji cPanel, śledzonej wewnętrznie pod numerem CPANEL-52908. W praktyce napastnik mógł wysłać źle uformowane żądanie logowania i otrzymać poprawne dane uwierzytelniające sesji do konta, w którym nigdy się nie uwierzytelnił — w najgorszym wypadku łącznie z rootowym dostępem do WHM, panelu po stronie serwera kontrolującego konta hostingowe, routing poczty, certyfikaty SSL i bazy danych. Sześć gałęzi wersji wymagało pilnej łatki: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 i 11.136.0.5. Serwery działające na nieobsługiwanych już wersjach cPanel nie otrzymają żadnej łatki i należy je traktować jako aktywnie skompromitowane.

cPanel jest standardową warstwą panelu sterowania dla infrastruktury hostingu współdzielonego, która podtrzymuje znaczną część konsumenckiego internetu. Skuteczne włamanie na pojedynczy serwer cPanel może rozlać się na tysiące podporządkowanych witryn — wszystkie domeny hostowane na tej maszynie, ich pocztę, bazy danych i pliki klientów. Zespół badawczy watchTowr Labs opisał dotknięte systemy jako warstwę zarządzania znaczącej części internetu, a jeden z dostawców, KnownHost, potwierdził, że wykorzystywanie luki trwało już zanim opublikowano jakikolwiek alert.

Hexstrike-AI: Świt Ery Autonomicznej Eksploatacji Luk Zero-Day

Namecheap, jeden z największych resellerów na platformie, podjął niezwykły krok: tymczasowo zablokował dostęp do portów 2083 i 2087 — internetowych punktów wejścia do cPanel i WHM — dla wszystkich klientów na czas wdrażania łatki. Gdy aktualizacja dotarła do flot Reseller i Stellar Business firmy, platforma była z zewnątrz praktycznie wygaszona przez kilka godzin. Inni duzi dostawcy publikowali podobne ostrzeżenia, zalecając klientom wykonanie /scripts/upcp –force jako root, by wymusić aktualizację, zamiast czekać na automatyczne okno serwisowe.

Alarm warto opatrzyć zastrzeżeniami. Sam cPanel nie opublikował szczegółowych technicznych informacji o luce — większość publicznej analizy pochodzi od zewnętrznych badaczy odtwarzających łatkę inżynierią wsteczną, co oznacza, że dokładne warunki wykorzystania pozostają częściowo zasłonięte. Liczba „70 milionów domen” to wieloletnie szacunki z własnych materiałów marketingowych cPanel i obejmuje konta hostingu współdzielonego, w których jeden serwer panelu obsługuje tysiące witryn; rzeczywista liczba dotkniętych unikatowych serwerów jest znacznie mniejsza. I choć wykorzystywanie luki przed łatką jest potwierdzone, do tej pory nie ujawniono żadnego dużego publicznego naruszenia przypisanego tej CVE — to może się zmienić w nadchodzących tygodniach, gdy zamkną się dochodzenia kryminalistyczne, albo nie.

Epizod wpisuje się w schemat, na który badacze bezpieczeństwa wskazują od lat: warstwa zarządzania konsumenckim hostingiem jest jednym z najwartościowszych i najmniej obserwowanych celów w internecie. Błąd w jednym komponencie panelu sterowania może jednocześnie oddać napastnikowi klucze do tysięcy małych witryn i stron MŚP z minimalnymi zabezpieczeniami, bez egzotycznych łańcuchów exploitów. Błędy umożliwiające obejście uwierzytelniania w oprogramowaniu klasy cPanel są wysoko notowane na czarnych rynkach, a różnica między ujawnieniem a pełnym pokryciem łatkami liczona jest w tygodniach dla niezarządzanych niezależnych serwerów — długo po tym, jak publiczny cykl informacyjny ruszył dalej.

cPanel wypuścił awaryjne łatki 28 kwietnia, a Namecheap i inni duzi dostawcy zakończyli wdrożenia we wczesnych godzinach 29 kwietnia. Administratorzy serwerów cPanel lub WHM powinni natychmiast sprawdzić, czy działają na jednej z załatanych wersji, i traktować jako potencjalnie skompromitowany każdy serwer, który w dniach poprzedzających łatkę pracował na podatnej wersji wystawionej do internetu. cPanel nie zobowiązał się do opublikowania publicznego raportu po incydencie.

Więcej podobnych

Warstwa tożsamości, której internet nigdy nie miał, jest teraz budowana pod syntetyczną presją

Warstwa tożsamości, której internet nigdy nie miał, jest teraz budowana pod syntetyczną presją

WhatsApp wprowadza nazwy użytkownika — numer telefonu zostaje prywatny

WhatsApp wprowadza nazwy użytkownika — numer telefonu zostaje prywatny

Nowa odsłona serii Touhou w świecie gier mobilnych

Nowa odsłona serii Touhou w świecie gier mobilnych

Torchlight: Infinite startuje z sezonem 12 trzy miesiące po historycznym rekordzie graczy

Torchlight: Infinite startuje z sezonem 12 trzy miesiące po historycznym rekordzie graczy

Nowa fizyka inteligencji: Obliczenia termodynamiczne i koniec deterministycznego paradygmatu cyfrowego

Nowa fizyka inteligencji: Obliczenia termodynamiczne i koniec deterministycznego paradygmatu cyfrowego

Strategiczny sojusz: „Talking Tom” i „Miraculous” uruchamiają wieloplatformowy crossover

Strategiczny sojusz: „Talking Tom” i „Miraculous” uruchamiają wieloplatformowy crossover

Dyskusja

Jest 0 komentarzy.