已发现 cPanel 身份验证严重漏洞——请立即更新您的服务器

技术交流
1

来源: https://thehackernews.com/2026/04/critical-cpanel-authentication.html

cPanel发布了安全更新,以解决影响各种身份验证路径的安全问题,该问题可能允许攻击者获得对控制面板软件的访问权限。

根据 WebPros 周二发布的警报,该问题影响所有当前受支持的 cPanel 和 WebHost Manager (WHM) 版本。该问题没有官方标识符。以下版本已修复此问题:

  • 11.86.0.41
  • 11.110.0.97
  • 11.118.0.63
  • 11.126.0.54
  • 11.130.0.19
  • 11.132.0.29
  • 11.136.0.5
  • 11.134.0.20

cPanel 指出:“如果您的服务器运行的 cPanel 版本未获得本次更新的支持,强烈建议您尽快更新服务器,因为您的服务器也可能受到影响。”

虽然 cPanel 没有透露有关该漏洞的任何细节,但网络托管和域名注册公司 Namecheap披露,该漏洞“与身份验证登录漏洞有关,可能允许未经授权访问控制面板”。

作为一项预防措施,该公司已应用防火墙规则阻止对 TCP 端口 2083 和 2087 的访问,该公司表示,此举将暂时限制客户对其 cPanel 和 WHM 界面的访问,直到应用完整的补丁为止。

Namecheap表示:“我们的团队正在积极监控情况,一旦官方补丁发布,我们将立即在所有支持的服务器上应用该补丁。补丁成功部署后,您将立即恢复对控制面板的访问。”

据 Namecheap 支持团队称,截至 2026 年 4 月 29 日凌晨 2 点 42 分(UTC),该修复程序已应用于经销商服务器、Stellar Business 服务器以及其他服务器。

该漏洞现已被追踪为 CVE-2026-41940;已被利用为零日漏洞。

该身份验证绕过漏洞已被分配 CVE 标识符CVE-2026-41940,CVSS 评分为 9.8 分(满分 10 分)。cPanel 在其安全公告的更新中表示,补丁程序也已推送至WP Squared 版本 136.1.7

根据美国国家标准与技术研究院 (NIST) 的国家漏洞数据库 (NVD) 中对该漏洞的描述,“11.40 之后的 cPanel 和 WHM 版本在登录流程中存在身份验证绕过漏洞,允许未经身份验证的远程攻击者获得对控制面板的未经授权的访问权限” 。

cPanel 还敦促客户执行以下操作 -

  • 立即通过 cPanel 更新脚本(“/scripts/upcp --force”)将服务器更新到上述版本之一。
  • 验证并确认返回的 cPanel 版本,然后执行重启

作为在补丁程序发布前的缓解措施,该公司建议采取以下步骤——

  • 在防火墙上阻止端口 2083、2087、2095 和 2096 的入站流量,或者
  • 停止 cpsrvd 和 cpdavd

Reddit上的报告显示,该漏洞已被作为零日漏洞积极利用。KnownHost首席执行官Daniel Pearson指出,“该漏洞绝对已被实际利用,至少在过去30天内,甚至更长时间,都已被发现。” Hacker News已联系cPanel以获取更多信息,如有回复,我们将更新报道。

cPanel发布了一款检测脚本,用于查找入侵迹象 -

  • 会话同时具有 token_denied 和 cp_security_token 以及 method=badpass origin
  • 具有已验证属性的预身份验证会话
  • 任何带有 tfa_verified 但无有效来源的会话
  • 密码字段包含换行符

“cPanel 系统被攻破与单个客户网站被攻破有着本质区别。WHM 会授予服务器的根管理权限,”哈德良说道。“拥有这种权限的攻击者可以读取每个客户的托管账户,修改文件和数据库,创建后门账户,安装恶意软件,窃取凭据,并入侵客户网络。”

Eye Security 在 LinkedIn 上分享的一篇帖子中表示,他们已识别出超过 200 万个连接到互联网的 cPanel 实例,但目前尚不清楚其中有多少个启用了自动更新功能,从而容易受到该漏洞的影响。

watchTowr Labs发布了有关该漏洞的更多技术细节,称 cPanel 身份验证流程中的不一致之处可被攻击者利用,以绕过登录检查并访问帐户。

Rapid7在其针对该漏洞的公告中表示,CVE-2026-41940 是由 cPanel 和 WHM 的登录和会话加载过程中注入回车换行符 ( CRLF ) 引起的,攻击者可以利用该漏洞获得对受影响系统的未经授权的管理访问权限。

在进行身份验证之前,cpsrvd(cPanel 服务守护进程)会将一个新的会话文件写入磁盘。该漏洞允许攻击者通过省略 cookie 值中的预期部分来篡改 whostmgrsession cookie,从而绕过通常应用于攻击者提供值的加密过程。

攻击者可以通过恶意的基本身份验证标头注入原始的 \r\n 字符,导致系统在未对数据进行清理的情况下写入会话文件。这样一来,攻击者就可以在会话文件中插入任意属性,例如 user=root。触发从该文件重新加载会话后,攻击者即可利用其令牌获得管理员级别的访问权限。

watchTowr 的首席执行官兼创始人 Benjamin Harris 告诉 The Hacker News:“让我们直截了当地说:cPanel 和 WHM 中的未经身份验证的身份验证绕过,这是一个部署在数万台服务器上的管理平面解决方案,位于互联网的重要部分面前。”

“安全警告发布后几个小时内,全球几乎所有主要主机提供商都立即封锁了自家产品,阻止客户访问。hosting.com、Namecheap、KnownHost、HostPapa、InMotion 等公司都采取了紧急措施,因为他们如果不这样做,就只能眼睁睁地看着自己的所有客户实时遭受损失。”

这一事态发展促使美国网络安全和基础设施安全局 (CISA) 将CVE-2026-41940添加到其已知利用漏洞 ( KEV ) 目录中,要求联邦民事行政部门 (FCEB) 机构在 2026 年 5 月 3 日之前应用补丁。

2

黑客利用cPanel漏洞入侵政府和军方服务器

来源: https://cybersecuritynews.com/cpanel-vulnerability-exploited/

这是一场针对东南亚政府和军事基础设施的复杂对抗性攻击活动,它结合了对关键 cPanel 身份验证绕过的快速利用,以及针对印尼国防部门门户网站的定制零日漏洞利用链,最终窃取了超过 4GB 的敏感中国铁路文件。

该攻击活动的初始访问途径以CVE-2026-41940 为中心,这是一个严重的 CVSS 9.8 身份验证绕过漏洞,影响 cPanel 和 WHM 中 v11.40 之后的所有版本。

该漏洞利用登录和会话加载过程中的 CRLF 注入,允许未经身份验证的攻击者操纵whostmgrsession cookie 并获得完整的 root 级管理权限,而无需有效的凭据。

在 cPanel 于 2026 年 4 月 28 日发布补丁之前,该漏洞已被证实已被实际利用,CISA 随后将其添加到其“已知已利用漏洞”目录中。在此次攻击活动中,cPanel 漏洞利用只是一个更广泛、更令人担忧的攻击行动的一部分,该行动源于一个暴露的命令与控制 (C2) 服务器

cPanel漏洞被利用

更重要的是,Ctrl-Alt-Intel 恢复了一个针对印尼国防部门培训门户网站的自定义漏洞利用程序。

攻击者已经拥有有效的凭证,并通过直接从服务器颁发的会话 cookie 中读取预期的 CAPTCHA 值来绕过门户网站的 CAPTCHA 机制,使得在未解决挑战的情况下,该挑战完全无效。

攻击者进入系统后,瞄准了文档管理功能,通过一个存在漏洞的保存端点,将 SQL 注入到文档名称字段中。

COPY ... TO PROGRAM 然后,攻击者利用 PostgreSQL 的一项功能(允许数据库服务器生成任意 shell 命令),将 SQL 注入攻击升级为对操作系统的完全访问权限。

命令输出被捕获到,经过 base64 编码,并使用——一个隐蔽的、基于文件读取的外泄通道,完全是数据库层原生的——/tmp 重新摄入到应用程序记录中。pg_read_file()

该漏洞利用脚本名为exploit_siak_bahasa.py (SHA-256:)974E272A... ,其中包含越南语注释,但Ctrl-Alt-Intel 明确警告说,这不足以确定攻击者身份,并且可能代表故意误导。

为了进行命令和控制,攻击者部署了一个 AdaptixC2 有效载荷(名为 的 ELF 二进制文件1 ),配置为向 发送信标delicate-dew.serveftp[.]com:4455 ,服务器端遥测数据证实了 C2 地址为95.111.250[.]175

1058×575 116 KB

还恢复了PowerShell 反向 shell ( init.ps1 ),建立了到同一 IP 地址 4444 端口的 TCP 连接。

95.111.250[.]175:1194/UDP 为了确保持久稳定的访问,攻击者将 OpenVPN 和 Ligolo 结合成一个分层枢纽协议栈。早在 2026 年 4 月 8 日,就部署了一台 OpenVPN 服务器,并通过10.8.0.0/24 客户端子网进行路由。

Ligolo 代理安装在一个隐藏的目录下/usr/local/bin/.netmon/ ,伪装成名为 的 systemd 服务systemd-update.service ,并配置为自动重启——即使在重启后也能提供持久的重新进入。

通过此枢纽基础设施,攻击者到达了内部主机10.16.13.88 并部署了exfil_docs_v2.sh 自定义的基于 SFTP 的数据泄露脚本。

881×616 104 KB

总共有 110 个文件(约 4.37GB)从中国铁路学会电气化委员会被盗,这些文件涵盖了.pptx.pdf.docx.xlsx 格式,日期从 2020 年到 2024 年。

其中最敏感的材料包括 2021 年的财务工作簿,其中包含全名、中华人民共和国国民身份证号码、银行账户详细信息和电话号码。

Ctrl-Alt-Intel 虽然没有给出确切的归因,但东南亚军事和政府目标的受害者,以及与中国政府相关的交通运输部门数据的窃取,都表明这是一起蓄意的区域情报收集行动。

Shadowserver基金会于 2026 年 4 月 30 日确认,有 44,000 个独立的 IP 地址被观察到正在扫描受害者、发起漏洞利用或对其蜜罐传感器进行暴力攻击。

强烈建议使用 cPanel/WHM 的组织立即升级到最新版本,并审核服务器日志,查找基于 CRLF 的会话操纵迹象。

入侵指标(IoC)

指标 类型 语境
95.111.250[.]175 IP地址 主要攻击者VPS;OpenVPN、反向shell和枢纽基础设施
delicate-dew.serveftp[.]com 领域 与同一基础设施关联的域;存在于已恢复的证书材料中
systemd-update.service 文件名 伪装的 Linux 持久性服务
/usr/local/bin/.netmon/systemd-helper 文件路径 隐藏的 Linux 反向连接有效载荷路径
init.ps1 文件名 PowerShell 反向 shell 有效负载
64674342041873DBB18B1DD9BB1CA391AF85B5E755DEFFB4C1612EF668349325 SHA-256 哈希值init.ps1
exploit_siak_bahasa.py 文件名 自定义认证 SQL 注入 → PostgreSQL 远程代码执行漏洞利用
974E272AD1DC7D5AADC3C7A48EC00EB201D04BA59EC5B0B17C2F8E9CD2F9C9CD SHA-256 哈希值exploit_siak_bahasa.py
exfil_docs_v2.sh 文件名 自定义 SFTP/LFTP 文档外泄脚本
734F0D04DC2683E19E629B8EC7F55349B5BCFF4EB4F2F36F6ADBBDE1C023A24F SHA-256 哈希值exfil_docs_v2.sh
1 文件名 与自定义漏洞利用链一起恢复的 Linux ELF 反向连接/枢轴有效载荷
1CFEADF01D24182362887B7C5F683E8BDB0E84CDDCE03E3B7564B2D9AB5D15CF SHA-256 ELF有效载荷的哈希值1

注意: IP 地址和域名已被故意隐去(例如, [.] ),以防止意外解析或超链接。请仅在受控的威胁情报平台(例如 MISP、VirusTotal 或您的 SIEM)中重新启用

习家评语:
铁路文件有什么用,整点习近平家族财产文件啊