Nguồn: watchTowr Labs
Tóm tắt
CVE-2026-41940 là lỗ hổng authentication bypass ảnh hưởng đến tất cả các phiên bản cPanel & WHM đang được hỗ trợ — phần mềm quản lý hosting chạy hơn 70 triệu domain. Lỗ hổng nằm trong cơ chế “session loading and saving”, cho phép kẻ tấn công bypass xác thực trên cả WHM (giao diện root-level admin) lẫn cPanel (giao diện người dùng). Theo KnownHost, lỗ hổng này đã bị khai thác trong thực tế như một zero-day trước khi có patch.
watchTowr Labs phân tích diff giữa phiên bản cũ và mới trong ba file: Cpanel/Session.pm, Cpanel/Session/Load.pm, và Cpanel/Session/Encoder.pm. Vấn đề nằm trong hàm saveSession: phiên bản cũ không gọi hàm filter_sessiondata để sanitize các ký tự đặc biệt (\r\n=\,) trước khi lưu session. Điều này mở ra khả năng injection vào session file, thao túng các trường khác trong session — kể cả trường xác thực.
Phiên bản vá thêm bước filter_sessiondata($session_ref) trước khi xử lý password, đồng thời cải thiện logic encode password trong trường hợp $ob (object binding) không tồn tại. Các phiên bản đã được vá: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, và 11.136.0.5.
Quản trị viên đang vận hành bất kỳ phiên bản cPanel & WHM nào cần nâng cấp ngay lập tức. Mức độ nghiêm trọng cao bởi WHM cung cấp quyền truy cập root-level, và bằng chứng khai thác thực tế (in-the-wild exploitation) đã được xác nhận.