آسیبپذیری cPanel و WHM (Web Host Manager) به مهاجمان اجازه میدهد با دورزدن کامل احراز هویت، بدون نیاز به رمز عبور به دسترسی Root برسند. آسیبپذیری cPanel که با شناسه CVE‑2026‑41940 ردیابی میشود، دارای امتیاز شدت 9.8 در سیستم CVSS است و طبق گزارش پژوهشگران watchTowr تمام نسخههای این نرمافزار، حتی نسخههای خارج از چرخه پشتیبانی (EOL) را تحت تأثیر قرار میدهد.
جزئیات فنی آسیبپذیری cPanel و روش دور زدن احراز هویت
ریشه آسیبپذیری cPanel وجود یک خطای دورزدن احراز هویت (Missing Authentication) در سرویس حیاتی cpsrvd است. این سرویس عملیات لاگین و مدیریت نشستها را کنترل میکند. هنگام ورود کاربر، فایلهای نشست در مسیر /var/cpanel/sessions/raw/ ایجاد میشوند.
طبق تحقیقات watchTowr، مهاجم با حذف بخشی از مقدار کوکی whostmgrsession میتواند فرآیند رمزنگاری دادههای نشست را دور بزند. سپس با ارسال هدر Authorization: Basic شامل کاراکترهای خط جدید (\r\n)، دادههای دلخواه خود را به فایل نشست تزریق کند.
بهدلیل اجرای نادرست ابزار امنیتی filter_sessiondata، این دادهها بدون پاکسازی در فایل ذخیره میشوند. این تکنیک نوعی حمله CRLF Injection محسوب میشود. در این حمله مهاجم میتواند خطوطی مانند hasroot=1 را به فایل نشست اضافه کند و سیستم را متقاعد سازد که او قبلاً بهعنوان مدیر سیستم وارد شده است.
تبدیل نشست جعلی به دسترسی Root در آسیبپذیری cPanel
برای آنکه آسیبپذیری cPanel به دسترسی واقعی بیانجامد، مهاجم باید سیستم را وادار کند نشست جعلی موجود در فایل raw را از کش بارگذاری کند. در حالت عادی cPanel نشستها را از کش میخواند و فایلهای raw نادیده گرفته میشوند.
پژوهشگران با حمله به بخشهایی از نرمافزار بدون نیاز به توکن امنیتی (security token)، فرآیندی را فعال کردند که تابع do_token_denied را اجرا میکند. در ادامه این تابع دستورات Modify::new و Modify::save را فراخوانی میکند و باعث میشود سرور دادههای دستکاریشده را از فایل نشست خوانده و در کش اصلی ذخیره کند. در این شرایط مهاجم بدون وارد کردن رمز عبور به دسترسی کامل Root دست پیدا میکند.
پژوهشگران تأکید کردهاند که آسیبپذیری cPanel تمام نسخههای پشتیبانیشده cPanel و WHM را تحت تأثیر قرار میدهد.
وضعیت اکسپلویت؛ حمله از دو ماه قبل آغاز شده بود
بررسی برخی ارائهدهندگان سرویسهای میزبانی از جمله KnownHost نشان میدهد این آسیبپذیری cPanel از اواخر فوریه 2026 بهصورت اکسپلویت روز صفر (Zero‑day) مورد بهرهبرداری قرار گرفته است.
این موضوع نشان میدهد سرورها تقریباً دو ماه پیش از انتشار پچ رسمی توسط شرکت WebPros در 28 آوریل 2026 در معرض نفوذ قرار داشتهاند.
نسخههای اصلاحشده و وضعیت پچ آسیبپذیری cPanel
مدیران سرور باید نسخه فعلی خود را بررسی و در صورت لزوم فوراً به نسخههای اصلاحشده ارتقا دهند. پچ امنیتی برای نسخههای زیر ارائه شده است:
- 110.0.x: 11.110.0.97
- 118.0.x: 11.118.0.63
- 126.0.x: 11.126.0.54
- 132.0.x: 11.132.0.29
- 134.0.x: 11.134.0.20
- 136.0.x: 11.136.0.5
همچنین تیم watchTowr ابزار Detection Artifact Generator را در GitHub منتشر کرده است تا مدیران بتوانند بررسی امنیتی را دقیقتر انجام دهند.
هشدار نهایی
با توجه به بهرهبرداری چندینهفتهای، نصب پچ رسمی اولین و مهمترین گام برای رفع آسیبپذیری محسوب میشود. علاوهبراین، مدیران سیستم باید لاگهای امنیتی، نشستها و مسیرهای حساس را با دقت بررسی کرده و نشانههای دسترسی غیرمجاز را شناسایی کنند.
