cPanel&WHM是全球主流的LinuxWeb托管控制面板,WHM提供服务器级管理能力,cPanel面向站点用户提供网站、域名、数据库、邮件等一站式运维管理,广泛应用于虚拟主机、IDC 机房、云服务商与企业自建托管环境。
近日,监测到官方修复cPanel&WHM身份认证绕过漏洞(CVE-2026-41940),由于登录流程中的会话加载与保存机制存在逻辑缺陷。攻击者通过Basic认证头在密码字段注入CRLF字符,并利用缺少ob(对象)部分的会话cookie避免密码编码,从而将恶意键值对写入原始会话文件。随后触发token_denied 流程,使系统重新解析该文件并将注入的 hasroot=1、user=root等记录提升至JSON缓存,最终绕过密码验证获得管理员权限。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
cPanel&WHM 11.86.* < 11.86.0.41
cPanel&WHM 11.110.* < 11.110.0.97
cPanel&WHM 11.118.* < 11.118.0.63
cPanel&WHM 11.126.* < 11.126.0.54
cPanel&WHM 11.130.* < 11.130.0.18
cPanel&WHM 11.132.* < 11.132.0.29
cPanel&WHM 11.134.* < 11.134.0.20
cPanel&WHM 11.136.* < 11.136.0.5
WP Squared 11.136.* < 11.136.1.7
三、修复建议
官方已发布安全补丁,请及时更新至最新版本:
cPanel&WHM 11.86.* >= 11.86.0.41
cPanel&WHM 11.110.* >= 11.110.0.97
cPanel&WHM 11.118.* >= 11.118.0.63
cPanel&WHM 11.126.* >= 11.126.0.54
cPanel&WHM 11.130.* >= 11.130.0.18
cPanel&WHM 11.132.* >= 11.132.0.29
cPanel&WHM 11.134.* >= 11.134.0.20
cPanel&WHM 11.136.* >= 11.136.0.5
WP Squared 11.136.* >= 11.136.1.7