cPanelSniper - Javno objavljen exploit za kritičnu cPanel ranjivost, preko 44.000 servera ugroženo
Javno dostupan exploit za cPanel CVE-2026-41940 omogućava napadačima root pristup bez kredencijala, 44.000 servera već pogođeno.
Šta se desilo?
Istraživač bezbednosti je objavio javno dostupan exploit alat nazvan cPanelSniper koji automatizuje iskorišćavanje kritične ranjivosti CVE-2026-41940 u cPanel i WHM softverima. Ranjivost omogućava napadačima da zaobidu autentifikaciju i steknu potpuni pristup kao root korisnik bez validnih kredencijala. Prema podacima Shadowserver fondacije, najmanje 44.000 IP adresa je do sada korišćeno za skeniranje i napadanje servera, a napadi se prate još od februara 2026. godine.
Koga pogađa?
Ranjivost pogađa sve administratore cPanel i WHM servera koji nisu ažurirali sistem nakon objave zakrpe 28. aprila 2026. godine. Posebno su ugroženi veb hostineri, provajderi облачних услуга i kompanije koje koriste cPanel za upravljanje veb sajtovima. Procenjuje se da postoji približno 650.000 javno dostupnih cPanel instanci, sa oko 1,5 miliona potencijalno ranjivих instanci dostupnih preko interneta.
Kako se zaštititi?
- Odmah ažurirajte cPanel na patkovanu verziju iz tabele koja je dostupna ispod - koristite /scripts/upcp --force komandu
- Restartujte cpsrvd i cpdavd servise kako bi ažuriranja stupila na snagu
- Blokirajte inbound saobraćaj na cPanel portima 2083, 2087, 2095 i 2096 na nivou firewall-a
- Proverite direktorijume sa sesijama tražeći sumnjive fajlove sa injektovanim poljima
- Obnovite sve administrativne kredencijale kao preventivnu meru
- Pratite izvештaje CISA i cPanel-a radi dodatnih bezbednosnih smernica
Tehnički detalji
Ranjivost CVE-2026-41940 ima CVSS skor od 9.8 (kritično) i koristi flaw u Session.pm modulu cPanel-a. Exploit lančano funkcioniše kroz četiri faze: prvo se pravi pre-auth WHM sesija sa nevalidnim kredencijalom, zatim se CRLF payload-a injektuje kroz Authorization zaglavlje što dovodi do pisanja otrovane sesije na disk, treće se triggeruje interno gadget preko /scripts2/listaccts što aktivira injektovana polja, i na kraju se potvrđuje root pristup preko /json-api/version. Alat je pisan u čistom Python 3.8+ i podržava masovne skenove, integraciju sa Subfinder i Shodan alatima, kao i interaktivnu WHM shell.
Tabela zakrpa po verziji:
- Grana 110.x: do verzije 11.110.0.96 je ranjiva, 11.110.0.97 i novije su ranjive
- Grana 118.x: do verzije 11.118.0.62 je ranjiva, 11.118.0.63 i novije su ranjive
- Grana 126.x: do verzije 11.126.0.53 je ranjiva, 11.126.0.54 i novije su ranjive
- Grana 132.x: do verzije 11.132.0.28 je ranjiva, 11.132.0.29 i novije su ranjive
- Grana 134.x: do verzije 11.134.0.19 je ranjiva, 11.134.0.20 i novije su ranjive
- Grana 136.x: do verzije 11.136.0.4 je ranjiva, 11.136.0.5 i novije su ranjive
Preporuka Sajber Radara
Ovo je hitna situacija - cPanel administratori moraju odmah primeniti zakrpe jer su napadi već aktivno u toku i public exploit je dostupan. Svaki dan bez ažuriranja izlaže infrastrukturu ozbiljnom riziku od kompromitovanja, deployment-a ransomware-a i krađe podataka.