cPanel登录漏洞让7,000万网站对任何人敞开大门

cPanel与WHM中一处严重的身份验证绕过漏洞,允许攻击者无需用户名与密码,直接从”正门”走进任何暴露在互联网上的控制面板。该漏洞被记录为CVE-2026-41940,CVSS评分为10分制下的9.8分,影响该软件所有受支持版本,而该软件在全球管理着大约7,000万个域名。安全研究人员确认,在紧急补丁发布时已有活跃利用在野中传播——对许多主机商来说,真正的问题已经不是”我们的服务器是否脆弱”,而是”更新到达之前是否已经被入侵”。

漏洞位于cPanel会话加载与保存逻辑中,内部追踪编号为CPANEL-52908。从实操层面看,攻击者只要发送一个格式不正确的登录请求,就能拿到一个自己从未认证过的账户的有效会话凭据——最坏情况下,这意味着对WHM的root级访问。WHM是控制托管账户、邮件路由、SSL证书与数据库服务的服务器侧仪表盘。共有六个版本分支需要紧急修补:11.110.0.97、11.118.0.63、11.126.0.54、11.132.0.29、11.134.0.20与11.136.0.5。仍在运行已停止支持版本的cPanel服务器将完全收不到任何补丁,应被视为已被主动入侵。

cPanel是支撑大半消费级互联网的共享主机基础设施的标准控制面板层。一次成功攻入单台cPanel服务器,可向下游数千个站点扩散——该机器上托管的所有域名,加上邮件、数据库与客户文件。watchTowr Labs研究团队将受影响的系统形容为”互联网相当一部分的管理平面”,一家主机商KnownHost则确认,在任何公开警告发布之前,真实的利用就已经在进行。

平台上规模最大的转售型主机商之一Namecheap采取了一个不同寻常的步骤:在补丁部署期间,对所有客户临时阻断了2083与2087端口——cPanel与WHM的Web入口端口——的访问。当更新覆盖到该公司Reseller与Stellar Business机群时,该平台从外部看来已经实质性”熄灯”了数个小时。其他大型主机商也发布了类似建议,并推荐客户以root身份执行/scripts/upcp –force强制更新,而不是等待自动维护窗口。

警报应当配以注释。cPanel自身并未公布关于该漏洞的深层技术细节——绝大多数公开分析来自外部研究人员对补丁进行的逆向工程,这意味着精确的利用条件至今仍部分被遮蔽。”7,000万域名”的数字是cPanel自家市场营销材料里长期沿用的估算,且包含一台面板服务器同时托管数千个网站的共享主机账户;实际受影响的独立服务器数量要少得多。而虽然在补丁之前的利用已被确认,但目前尚未有任何归因于该CVE的大规模公开入侵事件被披露——这一点未来数周内可能会随取证调查的收尾而改变,也可能不会改变。

此次事件吻合了安全研究人员多年来反复提示的一个模式:消费级主机的管理层是互联网上价值最高、关注最少的目标之一。控制面板单一组件中的一个缺陷,就能让攻击者一次性拿到数千个防御薄弱的小型企业与个人网站的钥匙,而完全无须复杂的攻击链。cPanel级软件中的身份验证绕过漏洞在地下市场上交易价格颇高,而对未受管理的独立服务器而言,从披露到补丁全面覆盖的时间差以”周”为单位计算——远远长过公众新闻周期切换到下一个话题的时间。

cPanel于4月28日发布紧急补丁,Namecheap及其他主要主机商在4月29日的清晨时段完成了部署。cPanel或WHM服务器的管理员应立即确认自己运行的版本号在已修补构建之列,并将补丁前数日内运行了存在漏洞的版本、且暴露在互联网上的任何服务器视为可能已遭入侵。cPanel未承诺将发布公开的事后报告。