⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A vulnerabilidade crítica de desvio de autenticação CVE-2026-41940 em cPanel, WHM e WP Squared está sendo explorada ativamente e tem sido aproveitada em tentativas desde o final de fevereiro.
Não está claro quando a exploração começou, mas KnownHost, um provedor de hospedagem que usa cPanel, disse no dia em que a vulnerabilidade foi divulgada que “explotações bem-sucedidas foram vistas à solta” antes que uma correção fosse disponibilizada.
No entanto, o CEO da KnownHost, Daniel Pearson, afirmou que a empresa “viu tentativas de execução já em 23/02/2026”.
Detalhes técnicos recentemente publicados, que podem ser usados para desenvolver um exploit, revelam que o problema é uma “injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão do cPanel e WHM”.
O cPanel lançou uma correção em 28 de abril, após pressão dos provedores de hospedagem. Para proteger os clientes, a Namecheap bloqueou temporariamente as conexões com as portas cPanel e WHM 2083 e 2087 até que os patches estivessem disponíveis.
Um relatório da empresa de segurança ofensiva watchTowr explica que a falha é causada pelo tratamento inadequado de sessões no cPanel e WHM, onde a entrada controlada pelo usuário do cabeçalho Authorization é gravada em arquivos de sessão do lado do servidor antes da autenticação e sem a devida higienização.
Os pesquisadores do watchTowr também publicaram uma análise detalhada sobre como o bug pode ser acionado para fazer login no sistema sem validar a senha fornecida, que pode ser usada para desenvolver uma exploração funcional.
De acordo com o Rapid7, as varreduras da Internet do Shodan mostram que há aproximadamente 1,5 milhão de instâncias do cPanel expostas online. No entanto, não há dados sobre quantos são vulneráveis ao CVE-2026-41940.
“A exploração bem-sucedida do CVE-2026-41940 concede ao invasor controle sobre o sistema host cPanel, suas configurações e bancos de dados, e os sites que ele gerencia”, alerta Rapid7.
O cPanel atualizou seu comunicado de segurança, observando que a vulnerabilidade também afeta o WP Squared, um painel de gerenciamento abrangente para hospedagem WordPress construído em cPanel. Além disso, ao contrário do inicialmente declarado, apenas as versões do cPanel posteriores à 11.40 são afetadas pelo problema de segurança.
O fornecedor recomenda fortemente que todos os clientes reiniciem o serviço ‘cpsrvd’ após instalar as versões mais recentes do software:
As versões afetadas e as versões corrigidas são:
cPanel/WHM 11.110.0 → corrigido em 11.110.0.97
cPanel/WHM 11.118.0 → corrigido em 11.118.0.63
cPanel/WHM 11.126.0 → corrigido em 11.126.0.54
cPanel/WHM 11.132.0 → corrigido em 11.132.0.29
cPanel/WHM 11.134.0 → corrigido em 11.134.0.20
cPanel/WHM 11.136.0 → corrigido em 11.136.0.5
WP Squared 11.136.1 → corrigido em 11.136.1.7
Se a correção não for possível imediatamente, os clientes devem pelo menos bloquear o acesso externo às portas 2083, 2087, 2095 e 2096 ou interromper os serviços principais internos do cpsrvd e cpdavd cPanel.
O fornecedor também forneceu um script de detecção para verificar se há comprometimento. Se forem encontrados indicadores, é recomendável limpar sessões, redefinir todas as credenciais, auditar logs e investigar mecanismos de persistência.
watchTowr também publicou um script Gerador de Artefato de Detecção que pode ser usado para verificar se as instâncias cPanel e WHM são vulneráveis ao CVE-2026-41940.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Não está claro quando a exploração começou, mas KnownHost, um provedor de hospedagem que usa cPanel, disse no dia em que a vulnerabilidade foi divulgada que “explotações bem-sucedidas foram vistas à solta” antes que uma correção fosse disponibilizada.
No entanto, o CEO da KnownHost, Daniel Pearson, afirmou que a empresa “viu tentativas de execução já em 23/02/2026”.
Detalhes técnicos recentemente publicados, que podem ser usados para desenvolver um exploit, revelam que o problema é uma “injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão do cPanel e WHM”.
O cPanel lançou uma correção em 28 de abril, após pressão dos provedores de hospedagem. Para proteger os clientes, a Namecheap bloqueou temporariamente as conexões com as portas cPanel e WHM 2083 e 2087 até que os patches estivessem disponíveis.
Um relatório da empresa de segurança ofensiva watchTowr explica que a falha é causada pelo tratamento inadequado de sessões no cPanel e WHM, onde a entrada controlada pelo usuário do cabeçalho Authorization é gravada em arquivos de sessão do lado do servidor antes da autenticação e sem a devida higienização.
Os pesquisadores do watchTowr também publicaram uma análise detalhada sobre como o bug pode ser acionado para fazer login no sistema sem validar a senha fornecida, que pode ser usada para desenvolver uma exploração funcional.
De acordo com o Rapid7, as varreduras da Internet do Shodan mostram que há aproximadamente 1,5 milhão de instâncias do cPanel expostas online. No entanto, não há dados sobre quantos são vulneráveis ao CVE-2026-41940.
“A exploração bem-sucedida do CVE-2026-41940 concede ao invasor controle sobre o sistema host cPanel, suas configurações e bancos de dados, e os sites que ele gerencia”, alerta Rapid7.
O cPanel atualizou seu comunicado de segurança, observando que a vulnerabilidade também afeta o WP Squared, um painel de gerenciamento abrangente para hospedagem WordPress construído em cPanel. Além disso, ao contrário do inicialmente declarado, apenas as versões do cPanel posteriores à 11.40 são afetadas pelo problema de segurança.
O fornecedor recomenda fortemente que todos os clientes reiniciem o serviço ‘cpsrvd’ após instalar as versões mais recentes do software:
As versões afetadas e as versões corrigidas são:
cPanel/WHM 11.110.0 → corrigido em 11.110.0.97
cPanel/WHM 11.118.0 → corrigido em 11.118.0.63
cPanel/WHM 11.126.0 → corrigido em 11.126.0.54
cPanel/WHM 11.132.0 → corrigido em 11.132.0.29
cPanel/WHM 11.134.0 → corrigido em 11.134.0.20
cPanel/WHM 11.136.0 → corrigido em 11.136.0.5
WP Squared 11.136.1 → corrigido em 11.136.1.7
Se a correção não for possível imediatamente, os clientes devem pelo menos bloquear o acesso externo às portas 2083, 2087, 2095 e 2096 ou interromper os serviços principais internos do cpsrvd e cpdavd cPanel.
O fornecedor também forneceu um script de detecção para verificar se há comprometimento. Se forem encontrados indicadores, é recomendável limpar sessões, redefinir todas as credenciais, auditar logs e investigar mecanismos de persistência.
watchTowr também publicou um script Gerador de Artefato de Detecção que pode ser usado para verificar se as instâncias cPanel e WHM são vulneráveis ao CVE-2026-41940.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #bug #crítico #do #cpanel #e #whm #explorado #como #dia #zero, #poc #agora #disponível
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário