Морда
Default

Критическая уязвимость в cPanel и WHM ставит под угрозу более 70 миллионов сайтов

Загруженное изображение

Компания watchTowr Labs сообщила о критической уязвимости в программном комплексе cPanel и WHM (Web Host Manager). Ошибка, получившая идентификатор CVE-2026-41940, позволяет злоумышленникам полностью обойти экран авторизации и получить root-доступ к серверу.

Уязвимости присвоен рейтинг опасности 9.8 по шкале CVSS. Она затрагивает абсолютно все версии cPanel, включая те, поддержка которых уже прекращена. Проблема усугубляется тем, что угроза не является теоретической: по данным хостинг-провайдеров, таких как KnownHost, хакеры активно эксплуатировали эту уязвимость в качестве угрозы нулевого дня с конца февраля 2026 года. Экстренный патч от разработчика комплекса был выпущен только 28 апреля 2026 года — спустя два месяца после начала атак.

Проблема кроется в отсутствии должной проверки подлинности для критически важных функций в службе cpsrvd (демон cPanel, обрабатывающий входы в систему).

Исследователи выяснили, что злоумышленник может манипулировать файлами сессий, изменяя файл cookie whostmgrsession. Хакер обходит процесс шифрования пользовательских данных и использует метод CRLF-инъекции (добавление символов возврата каретки и перевода строки \r\n) через заголовок Authorization: Basic.

Поскольку система не применяет встроенный инструмент фильтрации filter_sessiondata своевременно, злоумышленник может записать собственные данные в файл сессии. Например, добавив параметр hasroot=1, хакер сообщает системе, что он уже авторизован как администратор.

Чтобы заставить сервер поверить сфальсифицированным данным, требуется обойти систему кэширования. Обычно cPanel загружает сессии из быстрого кэша, игнорируя необработанные файлы. Злоумышленники научились обращаться к определенным компонентам ПО без токена безопасности, что запускает функцию do_token_denied. Она, в свою очередь, принудительно выполняет команды Modify::new и Modify::save, заставляя сервер прочитать поврежденный файл сессии и сохранить его в основном кэше. После этого хакер получает полный root-доступ без ввода пароля.

Разработчики настоятельно рекомендуют администраторам серверов немедленно проверить версии используемого ПО. Уязвимость устранена в следующих сборках:

  • 110.0.x: версия 11.110.0.97
  • 118.0.x: версия 11.118.0.63
  • 126.0.x: версия 11.126.0.54
  • 132.0.x: версия 11.132.0.29
  • 134.0.x: версия 11.134.0.20
  • 136.0.x: версия 11.136.0.5

Для упрощения проверки систем команда watchTowr выпустила специальный инструмент. Специалисты по безопасности подчеркивают, что поскольку уязвимость активно эксплуатировалась в течение нескольких недель, простого обновления ПО недостаточно. Администраторам необходимо тщательно проверить логи на предмет признаков несанкционированного доступа.

0
0

Залогиньтесь, чтобы писать комментарии