Ошибка входа в cPanel оставила 70 миллионов сайтов открытыми для всех желающих

Критическая уязвимость обхода аутентификации в cPanel и WHM позволяла злоумышленникам войти через парадную дверь любой панели управления, доступной из интернета, без имени пользователя и пароля. Уязвимость, зарегистрированная как CVE-2026-41940 с оценкой CVSS 9,8 из 10, затрагивает все поддерживаемые версии программы, под управлением которой находится около 70 миллионов доменов по всему миру. Исследователи безопасности подтверждают, что активные эксплойты уже распространялись, когда вышел экстренный патч — для многих хостеров вопрос больше не в том, были ли их серверы уязвимы, а в том, не были ли они скомпрометированы до того, как обновление успело прийти.

Уязвимость находится в логике загрузки и сохранения сессий cPanel, во внутренней системе она отслеживается под номером CPANEL-52908. На практике атакующий мог отправить специально сформированный некорректный запрос на вход и получить действительные учётные данные сессии для аккаунта, в котором никогда не аутентифицировался — в худшем случае с правами root к WHM, серверной панели, управляющей хостинговыми аккаунтами, маршрутизацией почты, SSL-сертификатами и базами данных. Срочное исправление потребовалось в шести ветках версий: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 и 11.136.0.5. Серверы, на которых до сих пор работают версии cPanel, снятые с поддержки, не получат патча вовсе и должны рассматриваться как активно скомпрометированные.

cPanel — стандартный слой панели управления для инфраструктуры виртуального хостинга, на которой держится значительная часть потребительского веба. Успешный взлом одного сервера cPanel может каскадом распространиться на тысячи подчинённых сайтов — все домены, размещённые на этой машине, плюс их почта, базы данных и клиентские файлы. Исследовательская команда watchTowr Labs описала пострадавшие системы как «плоскость управления значительной части интернета», а один из провайдеров, KnownHost, подтвердил, что эксплуатация уже шла до публикации какого-либо предупреждения.

Вам также может понравитьсяHexstrike-AI: Рассвет эры автономной эксплуатации уязвимостей нулевого дня

Namecheap, один из крупнейших реселлерских хостеров на платформе, пошёл на необычный шаг и временно заблокировал доступ к портам 2083 и 2087 — веб-точкам входа в cPanel и WHM — для всех своих клиентов на время выкатки патча. К моменту, когда обновление достигло парков серверов Reseller и Stellar Business компании, платформа фактически была погашена снаружи на несколько часов. Другие крупные провайдеры выпустили похожие уведомления и порекомендовали клиентам выполнить /scripts/upcp —force от имени root, чтобы принудительно подтянуть обновление, а не ждать автоматического окна обслуживания.

Тревога заслуживает уточнений. Сама cPanel не публиковала глубоких технических деталей по уязвимости — большая часть открытого анализа исходит от внешних исследователей, выполнивших обратную разработку патча, что означает, что точные условия эксплуатации остаются частично прикрытыми. Цифра в «70 миллионов доменов» — давняя оценка из собственных маркетинговых материалов cPanel, и в неё входят аккаунты виртуального хостинга, где один панельный сервер обслуживает тысячи сайтов; число реально пострадавших уникальных серверов значительно меньше. И хотя эксплуатация до выхода патча подтверждена, ни одна крупная публичная утечка, связанная с этой CVE, пока не раскрыта — это может измениться в ближайшие недели по мере завершения форензических расследований, а может и не измениться.

Эпизод укладывается в шаблон, на который исследователи безопасности указывают годами: слой управления потребительским хостингом — одна из самых ценных и при этом наименее надзираемых целей в интернете. Дефект в одном-единственном компоненте панели управления может одновременно вручить атакующему ключи от тысяч слабо защищённых сайтов малого бизнеса и личных проектов — без всяких экзотических цепочек эксплуатации. Уязвимости обхода аутентификации в ПО класса cPanel высоко котируются на теневых рынках, а разрыв между раскрытием и полным охватом патчем для неподдерживаемых отдельных серверов измеряется неделями — задолго после того, как публичный новостной цикл уже движется дальше.

cPanel выпустил экстренные патчи 28 апреля, а Namecheap и другие крупные провайдеры завершили развёртывание в первые часы 29 апреля. Администраторам серверов cPanel и WHM следует немедленно убедиться, что они работают на одной из исправленных сборок, и считать потенциально скомпрометированным любой сервер, который в дни перед патчем держал уязвимую версию, открытую в интернет. cPanel не брал на себя обязательств по публичному отчёту о произошедшем.

Похожие материалы

Уровень идентичности, которого у интернета никогда не было, строится сейчас — под давлением синтетического мира

WhatsApp вводит имена пользователей — номер телефона больше не нужен

GPT-5.5 только что появился в AWS, положив конец семилетней монополии Microsoft на OpenAI

Алгоритмический спиритизм: скорбь, датаизм и смерть конечности

Roland-Garros eSeries и рост мобильного киберспорта в цифровой спортивной культуре

Advantech представляет новое поколение промышленных ИИ-решений на базе Qualcomm Snapdragon X Elite