Kerentanan bypass otentikasi CVE-2026-41940 yang kritis di cPanel, WHM, dan WP Squared sedang dieksploitasi secara aktif dan telah dimanfaatkan sejak akhir Februari.
Tidak jelas kapan eksploitasi dimulai, namun KnownHost, penyedia hosting yang menggunakan cPanel, mengatakan pada hari kerentanan tersebut diungkapkan bahwa “eksploitasi yang berhasil telah terlihat di alam liar” sebelum perbaikan tersedia.
Namun, CEO KnowHost Daniel Pearson menyatakan bahwa perusahaan telah “melihat upaya eksekusi paling cepat pada 23/2/2026.”
Rincian teknis yang baru diterbitkan, yang dapat digunakan untuk mengembangkan eksploitasi, mengungkapkan bahwa masalahnya adalah “injeksi Carriage Return Line Feed (CRLF) dalam proses login dan pemuatan sesi cPanel & WHM.”
cPanel merilis perbaikan pada tanggal 28 April, menyusul tekanan dari penyedia hosting. Untuk melindungi pelanggan, Namecheap memblokir sementara koneksi ke port cPanel dan WHM 2083 dan 2087 hingga patch tersedia.
Sebuah laporan dari perusahaan keamanan ofensif watchTowr menjelaskan bahwa kelemahan ini disebabkan oleh penanganan sesi yang tidak tepat di cPanel & WHM, di mana input yang dikontrol pengguna dari header Otorisasi ditulis ke dalam file sesi sisi server sebelum otentikasi dan tanpa sanitasi yang tepat.
Peneliti watchTowr juga menerbitkan analisis terperinci tentang bagaimana bug dapat dipicu untuk masuk ke sistem tanpa memvalidasi kata sandi yang diberikan, yang dapat digunakan untuk mengembangkan eksploitasi yang berfungsi.
Menurut Rapid7, pemindaian internet Shodan menunjukkan bahwa ada sekitar 1,5 juta contoh cPanel yang terekspos secara online. Namun, belum ada data berapa banyak yang rentan terhadap CVE-2026-41940.
“Eksploitasi CVE-2026-41940 yang berhasil memberi penyerang kendali atas sistem host cPanel, konfigurasi dan databasenya, serta situs web yang dikelolanya,” Rapid7 memperingatkan.
cPanel telah memperbaruinya penasehat keamananmengingat bahwa kerentanan juga berdampak pada WP Squared, panel manajemen komprehensif untuk hosting WordPress yang dibangun di cPanel. Selain itu, tidak seperti yang dinyatakan sebelumnya, hanya versi cPanel setelah 11.40 yang terpengaruh oleh masalah keamanan.
Vendor sangat menyarankan agar semua pelanggan memulai ulang layanan ‘cpsrvd’ setelah menginstal rilis terbaru perangkat lunak:
Rilisan yang terpengaruh dan versi yang diperbaiki adalah:
- cPanel/WHM 11.110.0 → diperbaiki di 11.110.0.97
- cPanel/WHM 11.118.0 → diperbaiki di 11.118.0.63
- cPanel/WHM 11.126.0 → diperbaiki di 11.126.0.54
- cPanel/WHM 11.132.0 → diperbaiki di 11.132.0.29
- cPanel/WHM 11.134.0 → diperbaiki di 11.134.0.20
- cPanel/WHM 11.136.0 → diperbaiki di 11.136.0.5
- WP Squared 11.136.1 → diperbaiki di 11.136.1.7
Jika patching tidak dapat segera dilakukan, pelanggan setidaknya harus memblokir akses eksternal ke port 2083, 2087, 2095, dan 2096, atau menghentikan layanan inti internal cpsrvd dan cpdavd cPanel.
Vendor juga menyediakan skrip deteksi untuk memeriksa kompromi. Jika indikator ditemukan, disarankan untuk membersihkan sesi, mengatur ulang semua kredensial, mengaudit log, dan menyelidiki mekanisme persistensi.
watchTowr juga telah menerbitkan a Generator Artefak Deteksi skrip yang dapat digunakan untuk memverifikasi apakah instans cPanel dan WHM rentan terhadap CVE-2026-41940.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
