Critical cPanel and WHM bug exploited as a zero-day, PoC now available
Mis à jour :
Vulnérabilité critique d’authentification dans cPanel et WHM
Une faille critique de contournement d’authentification, exploitée en tant que zero-day depuis fin février 2026, affecte cPanel, WHM et WP Squared. Cette vulnérabilité permet à un attaquant de prendre le contrôle total du serveur, de ses configurations, des bases de données et des sites hébergés.
Points clés :
- Nature du problème : Une injection CRLF (Carriage Return Line Feed) dans les processus de connexion et de chargement de session, causée par une gestion inappropriée des entrées utilisateur dans l’en-tête d’autorisation.
- Vulnérabilité : CVE-2026-41940.
- Impact : Environ 1,5 million d’instances cPanel exposées en ligne. Les versions postérieures à 11.40 sont vulnérables.
- Exploitation : Des preuves de concept (PoC) sont désormais disponibles, facilitant les tentatives d’intrusion.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs fournis par l’éditeur (versions corrigées détaillées dans l’avis de sécurité).
- Action post-installation : Redémarrer impérativement le service
cpsrvdaprès la mise à jour. - Mesures palliatives : En cas d’impossibilité de mise à jour, bloquer l’accès externe aux ports 2083, 2087, 2095 et 2096, ou arrêter les services
cpsrvdetcpdavd. - Audit : Utiliser les scripts de détection fournis par l’éditeur et par watchTowr pour vérifier les compromissions. En cas d’intrusion détectée : purger les sessions, réinitialiser l’ensemble des identifiants, auditer les journaux et supprimer tout mécanisme de persistance.