cPanel/WHM の認証バイパス脆弱性は 4 月 28 日に WebPros がアドバイザリと修正版を公開、4 月 29 日付の本誌記事で初報を伝えていました。Help Net Security は 5 月 4 日、この CVE-2026-41940 (CVSS 9.8) を巡る状況が「複数アクターによる悪用」段階へと悪化したと伝えています。探索的スキャンに留まらず、サイト改ざん・ランサム展開・標的型侵入が同時進行しており、約 150 万台のサーバが影響を受け得るとされます。
主なポイント
- WebPros は 4 月 28 日に CVE-2026-41940 のセキュリティ・アドバイザリと修正版を配信。攻撃自体は遅くとも 2 月 23 日から観測されており、ゼロデイ期間が長期化していた
- Ctrl-Alt-Intel は 5 月 2 日、CVE-2026-41940 を悪用する攻撃インフラを観測。フィリピン・ラオス・カナダ・南アフリカ・米国の政府/軍ドメイン (
*.mil.ph、*.gov.laなど) と MSP・ホスティング事業者を対話的に侵害する単独アクターを確認 - 別の系統では Go (Golang) 製 Linux 暗号化ランサムが配布。ファイル拡張子に
.sorryを付与し Tox 経由で連絡するよう要求。Censys は.sorryファイルを公開ディレクトリで露出するホスト 8,859 台を観測 (うち 7,135 台が cPanel/WHM) - 4 月 30 日にはハニーポット観測で、本脆弱性で侵害された可能性が高い 44,000 IP が他サーバへのスキャンとブルートフォースに加担しているとされる
- 影響範囲は v11.40 以降の cPanel/WHM 全系列および WP Squared v136.1.7。未適用環境は速やかな更新と管理ポート (TCP 2083/2087) のアクセス制限が必須
出典: Multiple threat actors actively exploit cPanel vulnerability (CVE-2026-41940) (Help Net Security)