cPanel/WHM に深刻な認証バイパス CVE-2026-41940、約 2 か月間ゼロデイ攻撃に悪用 PoC も公開

cPanel & WHM に未認証の遠隔攻撃者が管理画面に直接ログインできる認証バイパス脆弱性 CVE-2026-41940 が公表されました。CVSS 9.8 と評価され、Shodan 上で約 150 万のインスタンスが露出しているとされます。

主なポイント

• 原因はログイン処理とセッション読み込み処理に存在する CRLF インジェクションで、悪用されると cPanel ホストとそこで管理される全サイトの制御を奪われる。
• 影響範囲は v11.40 以降のすべての cPanel/WHM および WP Squared v136.1.7。cPanel は 4 月 28 日に緊急パッチを公開し、cpsrvd の再起動を含む手順を案内している。
• セキュリティ企業 watchTowr は 4 月 29 日に技術解析と PoC を公開。攻撃の試みは 2 月 23 日から確認されており、約 2 か月間真のゼロデイ状態だった。
• CISA は本脆弱性を Known Exploited Vulnerabilities カタログに追加し、連邦民間機関に対し 5 月 3 日までのパッチ適用を義務付けた。
• 暫定緩和策として、ファイアウォールでポート 2083 / 2087 / 2095 / 2096 を遮断し、cpsrvd と cpdavd の停止が推奨されている。

出典: Hackers are actively exploiting a bug in cPanel, used by millions of websites