В серверной комнате царил привычный, равнодушный гул, совершенно не замечающий, как в административный замок проскользнул цифровой отмычка. Речь идет о cPanel & WHM — рабочих лошадках, управляющих значительной частью веб-хостинга в интернете. И, похоже, у них появилась зияющая дыра.
CVE-2026-41940. Звучит как название плохого научно-фантастического фильма, не так ли? Но это не вымысел. Это критическая уязвимость с пугающе высоким показателем CVSS — 9.8. Что это значит простыми словами? Что злоумышленники могут спокойно пройти мимо ваших логинов, завладеть ключами от королевства и начать хозяйничать на ваших серверах, в базах данных и на всех тех сайтах, которые вы считали в безопасности.
Послушайте, я занимаюсь этим достаточно долго, чтобы учуять фальшь за километр, и начальное уведомление от cPanel, которое называет это «проблемой с загрузкой и сохранением сеансов», откровенно попахивает корпоративным преуменьшением. Это не подтекающий кран; это когда всю сантехнику вырывают с корнем. А для тех, кто ведет счет, затронуты продукты cPanel & WHM, а также WP Squared.
Анатомия катастрофы
Итак, как происходит этот цифровой удар в спину? Это классический случай предательства доверия, особенно в том, как cPanel обрабатывает файлы сеансов. Прежде чем вы успеете ввести пароль, служба cpsrvd — это демон cPanel, для непосвященных — записывает новый файл сеанса. Фишка, согласно исследователям из watchTowr (которые, благослови их циничные сердца, уже опубликовали proof-of-concept), заключается во внедрении символов возврата каретки и перевода строки (CRLF). По сути, атакующий может отправить специально сформированный cookie whostmgrsession. Играя с ожидаемыми сегментами и пропуская обычные танцы с шифрованием, они могут внедрить сырые символы прямо в базовый заголовок авторизации. Система, в своей наивной доверчивости, без колебаний записывает эти некорректные данные в файл сеанса. Вуаля. Вставляются произвольные свойства, такие как user=root. Затем, с небольшим толчком для перезагрузки сеанса, атакующий внезапно оказывается в администраторском кресле.
Это цифровой эквивалент того, чтобы оставить входную дверь распахнутой с табличкой «Заходите, берите что хотите». И, судя по всему, некоторые уже воспользовались этим предложением: ходят слухи об эксплуатации уязвимости нулевого дня еще с 23 февраля 2026 года, задолго до того, как эта информация стала достоянием общественности.
Кто на этом реально зарабатывает?
Вот это главный вопрос, не так ли? Каждый раз, когда происходит такая крупная уязвимость, запускается цепная реакция. Во-первых, есть атакующие, которые, очевидно, облизываются. Они могут получить несанкционированный доступ, украсть данные, испортить сайты или использовать скомпрометированные серверы для дальнейших вредоносных действий. Затем идут компании, занимающиеся кибербезопасностью, такие как watchTowr, которые могут продемонстрировать свою мощь и, возможно, продать больше услуг. И не будем забывать о компаниях, предлагающих решения для исправления уязвимостей или сканеры — инструменты, которые внезапно станут очень, очень популярными. Быстрый поиск по Shodan выявляет около 1,5 миллиона экземпляров cPanel, доступных в публичном интернете, — настоящий шведский стол для любого, у кого есть код эксплойта.
Но для обычного владельца сайта или администратора никакой прибыли нет. А цена? Потенциально всё. Простой, потеря данных, репутационный ущерб — всё это складывается. Кто оплачивает счета за неизбежную чистку и ликвидацию последствий? Вы.
Это просто очередной патч? Долгосрочная игра уязвимостей
Технические детали пикантны, но какова общая картина? Это не просто очередной CVE для книжных полок; это симптом. Ускоряющийся темп появления таких серьезных уязвимостей откровенно пугает. Мы наблюдаем всё более изощренные методы внедрения и сокращающееся окно между обнаружением и массовой эксплуатацией. Событие CVE-2026-41940 — это суровое напоминание о том, что даже самое распространенное программное обеспечение не застраховано. Давление на поставщиков в плане предоставления безопасного кода огромно, а давление на пользователей в плане немедленного установки обновлений — еще больше.
Это постоянная гонка вооружений. Атакующие находят лазейку, поставщики лихорадочно выпускают патчи, а пользователи оказываются посередине, молясь, чтобы успеть обновиться до того, как станут очередной новостью. Настоящий вопрос в том, переосмысливают ли такие поставщики, как cPanel, свой цикл разработки, или просто играют в «ударь крота» с патчами безопасности. Учитывая серьезность уязвимости и активную эксплуатацию, остается надеяться, что это больше, чем просто реактивная мера.
Смягчение последствий: Хватит читать, пора патчить
Если вы используете cPanel & WHM или WP Squared, вам не повезло. Совет простой, прямолинейный и срочный: немедленно обновитесь до исправленной версии. Забудьте о временных решениях, таких как блокировка портов, если можете; это пластырь на пулевое ранение. Патчинг — единственное реальное решение здесь.
Затронутые версии довольно широки, по сути, всё, что после 11.40. Исправленные версии перечислены и охватывают различные ветки релизов, поэтому убедитесь, что вы проверяете ту ветку, на которой работаете.
- cPanel & WHM 11.86.0 версии до 11.86.0.41
- cPanel & WHM 11.110.0 версии до 11.110.0.97
- cPanel & WHM 11.118.0 версии до 11.118.0.63
- cPanel & WHM 11.126.0 версии до 11.126.0.54
- cPanel & WHM 11.130.0 версии до 11.130.0.19
- cPanel & WHM 11.132.0 версии до 11.132.0.29
- cPanel & WHM 11.134.0 версии до 11.134.0.20
- cPanel & WHM 11.136.0 версии до 11.136.0.5
- WP Squared версии до 136.1.7
Серьезно, проверьте рекомендации поставщика. Не будьте тем, кто дождется, пока весь их сайт превратится в размещенный билборд.
Для тех, кто использует инструменты безопасности, Rapid7 отмечает, что их клиенты Exposure Command, InsightVM и Nexpose могут проверить наличие этой уязвимости с помощью аутентифицированных проверок уязвимостей, выпущенных 30 апреля 2026 года. Так что, если вы платите за эти услуги, вы хотя бы можете получить автоматизированную информацию.
🧬 Связанные материалы
- Читайте также: FBI, CISA Бьют Тревогу: Российские Фишеры Захватывают Аккаунты Signal и WhatsApp по всему миру
- Читайте также: Скрытая Осада Китая Юго-Восточной Азии
Часто задаваемые вопросы
Что делает CVE-2026-41940? CVE-2026-41940 — это уязвимость обхода аутентификации в cPanel & WHM, которая позволяет удаленным атакующим без аутентификации получить административный доступ к затронутым системам.
Уязвим ли мой сервер cPanel? Если вы используете версию cPanel & WHM или WP Squared до указанных исправленных версий, приведенных в руководстве по смягчению последствий, ваш сервер, скорее всего, уязвим. Активная эксплуатация подтверждена.
Что мне делать, если я использую cPanel? Немедленно обновите вашу установку cPanel & WHM или WP Squared до исправленной версии. Не откладывайте; эта уязвимость активно эксплуатируется.
