Una vulnerabilità critica in cPanel e WHM, registrata come CVE-2026-41940, è stata sfruttata attivamente da febbraio, due mesi prima della pubblicazione di una patch. Il difetto consente agli aggressori di bypassare la schermata di accesso e ottenere accesso amministrativo completo al server. Ciò garantisce loro il controllo totale su dati, siti web, database ed email ospitati, compromettendo la sicurezza di migliaia di server.
Dettagli tecnici del bypass di autenticazione 🛡️
La falla risiede in un errore logico nella gestione delle sessioni durante l'autenticazione. Inviando una richiesta appositamente progettata all'API di WHM, il sistema salta la verifica delle credenziali e concede privilegi di root. Non è richiesta autenticazione preventiva né interazione da parte dell'utente. L'exploit è stato condiviso nei forum di cybercriminalità e le analisi mostrano che colpisce le versioni di cPanel e WHM precedenti alla 110.0.18. La raccomandazione è di aggiornare immediatamente e controllare i log per accessi sospetti.
La parte positiva del fatto che gli hacker avvisino prima del produttore 😅
Gli aggressori hanno avuto due mesi per aggirarsi sui server come se fossero amministratori legittimi, mentre cPanel lavorava alla patch con la stessa urgenza di una lumaca nell'ora di punta. Ora, la comunità dell'hosting scopre che la propria sicurezza dipendeva dal fatto che nessuno si accorgesse di un buco grande come un camion. Meno male che gli hacker sono così premurosi da avvisare sempre per primi, anche se usano i tuoi dati come biglietto da visita.