Một lỗ hổng nghiêm trọng ảnh hưởng đến tất cả ngoại trừ các phiên bản mới nhất của cPanel và bảng điều khiển WebHost Manager (WHM) có thể bị khai thác để có quyền truy cập vào bảng điều khiển mà không cần xác thực.
Vấn đề bảo mật, hiện được xác định là CVE-2026-41940 và có mức độ nghiêm trọng là 9,8, đã được giải quyết trong một bản cập nhật khẩn cấp yêu cầu chạy lệnh theo cách thủ công để truy xuất phiên bản vá lỗi của phần mềm.
Thuộc sở hữu của WebPros International, WHM và cPanel là các bảng điều khiển lưu trữ web dựa trên Linux để quản lý máy chủ và trang web. Trong khi WHM cung cấp khả năng kiểm soát cấp máy chủ thì cPanel cung cấp cho quản trị viên quyền truy cập vào phần phụ trợ của trang web, email trực tuyến và cơ sở dữ liệu.
Cả hai sản phẩm đều nằm trong số các bảng điều khiển lưu trữ được triển khai rộng rãi nhất, được nhiều nhà cung cấp dịch vụ lưu trữ ưa chuộng vì giao diện được tiêu chuẩn hóa, tính dễ sử dụng đối với người dùng không rành về kỹ thuật và khả năng tích hợp sâu với các nhóm lưu trữ phổ biến.
Không có chi tiết kỹ thuật nào được tiết lộ công khai nhưng mức độ nghiêm trọng của vấn đề có vẻ đáng kể vì Namecheap đã tạm thời chặn quyền truy cập vào các cổng 2083 và 2087 được sử dụng cho WHM và cPanel để bảo vệ khách hàng cho đến khi có bản vá.
Namecheap cho biết:“Chúng tôi rất tiếc phải thông báo cho bạn rằng một lỗ hổng bảo mật nghiêm trọng đã được xác định trong phần mềm cPanel ảnh hưởng đến tất cả các phiên bản hiện được hỗ trợ”.
Nhà cung cấp dịch vụ lưu trữ cho biết lỗ hổng này "liên quan đến hoạt động khai thác thông tin đăng nhập xác thực có thể cho phép truy cập trái phép vào bảng điều khiển.”
Vài giờ sau thông báo của Namecheap, cPanel đã xuất bản một bản tin bảo mật thông báo rằng vấn đề bảo mật đã được giải quyết trong các phiên bản sản phẩm sau:
- 11.110.0.97
- 11.118.0.63
- 11.126.0.54
- 11.132.0.29
- 11.136.0.5
- 11.134.0.20
Để cài đặt phiên bản an toàn, nhà cung cấp khuyến nghị quản trị viên thực thi lệnh /scripts/upcp –force để chạy quy trình cập nhật cPanel và buộc nó thực thi ngay cả khi hệ thống cho rằng nó đã chạy trên phiên bản mới nhất.
Các máy chủ chạy phiên bản cPanel không được hỗ trợ sẽ không đủ điều kiện để nhận các bản cập nhật bảo mật. Trong trường hợp này, quản trị viên nên nâng cấp lên phiên bản được hỗ trợ càng sớm càng tốt.
Kẻ tấn công có quyền truy cập vào cPanel có thể kiểm soát mọi thứ có trong tài khoản lưu trữ, từ trang web, dữ liệu đến email. Họ có thể sử dụng quyền truy cập để cài đặt các cửa hậu hoặc web shell, chuyển hướng người dùng đến các vị trí độc hại, đánh cắp các tệp nhạy cảm, gửi email spam hoặc lừa đảo hoặc thu thập mật khẩu từ các tệp cấu hình.
WHM cung cấp quyền truy cập vào toàn bộ máy chủ và tất cả các trang web mà nó lưu trữ. Điều này có nghĩa là kẻ đe dọa có thể tạo và xóa tài khoản cPanel, thiết lập quyền truy cập liên tục trên máy và sử dụng nó cho nhiều hoạt động độc hại khác nhau (ví dụ:lưu lượng proxy, spam, phân phối phần mềm độc hại, botnet).
Chủ sở hữu trang web sử dụng giao diện quản lý bị ảnh hưởng phải đảm bảo rằng họ đã cập nhật lên phiên bản vá lỗi.
Cập nhật [29 tháng 4, 16:51 EST]: Đã thêm số theo dõi do VulnCheck chỉ định.
99% những điều thần thoại được tìm thấy vẫn chưa được vá.
AI đã xâu chuỗi bốn lỗ hổng zero-day thành một lần khai thác vượt qua cả hộp cát kết xuất và hệ điều hành. Một làn sóng khai thác mới đang đến.
Tại Hội nghị thượng đỉnh về xác thực tự động (ngày 12 và 14 tháng 5), hãy xem cách xác thực tự động, giàu ngữ cảnh tìm ra những gì có thể khai thác được, chứng minh các biện pháp kiểm soát được giữ nguyên và đóng vòng lặp khắc phục.
Yêu cầu vị trí của bạn