Contournement d’authentification critique dans cPanel & WHM (CVE-2026-41940)

Une vulnérabilité critique de contournement d’authentification affecte toutes les versions actuellement supportées de cPanel & WHM. Cette faille, déjà exploitée activement par des attaquants (“zero-day”), permet de manipuler les fichiers de session stockés sur le serveur pour usurper l’identité d’utilisateurs privilégiés, y compris l’administrateur root.

Points clés

• Mécanisme de la faille : La vulnérabilité repose sur une injection CRLF ( ) dans les en-têtes d’authentification HTTP Basic. En l’absence de nettoyage adéquat, ces caractères permettent d’injecter des enregistrements arbitraires dans les fichiers de session sur le disque.
• Chaînage de l’attaque :
  1. L’attaquant crée une session “pre-auth” légitime.
  2. Il injecte des données malveillantes via un en-tête Authorization tout en omettant le jeton de chiffrement (ob) dans le cookie de session pour empêcher l’encodage du mot de passe.
  3. En provoquant une erreur de jeton de sécurité, l’attaquant force le serveur à relire le fichier de session corrompu et à le réécrire dans le cache JSON, rendant les données injectées (comme user=root ou des drapeaux de succès d’authentification) effectives.
• Impact : Une fois la session manipulée, le système ignore la validation par mot de passe /etc/shadow, permettant un accès total sans credentials valides.

Vulnérabilité

• CVE-2026-41940 : Contournement d’authentification par injection CRLF et manipulation de fichiers de session.

Recommandations

• Mise à jour immédiate : Appliquez les correctifs fournis par cPanel sans délai. Les versions corrigées sont :
  • 11.110.0.97
  • 11.118.0.63
  • 11.126.0.54
  • 11.132.0.29
  • 11.134.0.20
  • 11.136.0.5
• Surveillance : Inspectez les fichiers de session dans /var/cpanel/sessions/raw/ pour détecter toute anomalie de structure ou présence de caractères CRLF injectés.

Source