Kritična ranljivost u cPanel i WHM omogućava zaobilaženje autentifikacije - CVE-2026-41940
Kritična ranljivost CVE-2026-41940 u cPanel i WHM omogućava zaobilaženje autentifikacije. Hitno se preporučuje ažuriranje i primena zaštitnih mera.
Šta se desilo?
Otkrivena je kritična bezbednosna ranljivost u cPanel i WHM platformama koja omogućava napadačima da zaobidu mehanizme autentifikacije i steknu neovlašćeni administrativni pristup. Ranljivost je označena sa CVE-2026-41940 i pogađa cPanel, WHM, cPanel DNSOnly i određene WP Squared instalacije. Ukoliko bude eksploatisana, može dovesti do kompromitovanja administrativnog interfejsa i ozbiljnog rizika po bezbednost sistema.
Koga pogađa?
Potencijalne žrtve su hosting provajderi, administratori servera, institucije i sva pravna lica koja koriste cPanel ili WHM platforme. Rizik je posebno ozbiljan za hosting kompanije jer kompromitovanje jednog cPanel servera može uticati na hiljade veb-sajtova, korisničkih naloga, e-mail računa, baza podataka, DNS zapisa i povezanih usluga istovremeno. Pod povećanim rizikom su i sistemi sa isključenim automatskim ažuriranjima ili starijim verzijama softvera.
Kako se zaštititi?
- Odmah izvršite ažuriranje cPanel/WHM sistema pomoću komande: /scripts/upcp –force
- Proverite verziju sistema sa: /usr/local/cpanel/cpanel -V
- Restartujte cPanel servis komandom: /scripts/restartsrv_cpsrvd
- Ograničite pristup WHM i cPanel administracijskim interfejsima samo sa pouzdanih IP adresa
- Koristite VPN ili bastion host za svaki administrativni pristup
- Zabranite javni pristup WHM interfejsu
- Omogućite automatska ažuriranja ako nisu već aktivna
- Pregledajte sve administratorske, reseller i cPanel korisnike
- Proverite API tokene i SSH ključeve na neovlašćene izmene
- Monitorujte portove 2082/2083 (cPanel), 2086/2087 (WHM) i 2095/2096 (Webmail)
- Pregledajte DNS zapise, cron jobs i konfiguracije web servera
Tehnički detalji
CVE-2026-41940 je kritična ranljivost koja omogućava zaobilaženje autentifikacije u cPanel i WHM. Pogođeni su sledeći sistemi: cPanel serveri, WHM serveri, cPanel DNSOnly serveri, deljeno hosting okruženje, reseller hosting okruženje, VPS i dedicated serveri sa cPanel/WHM, WP Squared instalacije, kao i sistemi koji koriste starije ili nepodržane verzije. Ključni sigurnosni portovi koji zahtevaju monitorovanje su 2082/2083 za cPanel i 2086/2087 za WHM.
Provera na moguću kompromitaciju
Administratori trebaju da proverite sledeće indikatore u logovima: neobične prijave u WHM/cPanel, prijave sa nepoznatih IP adresa, novo kreirane korisnike, neovlašćene SSH ključeve, nepoznate cron jobs, izmene DNS zapisa, sumnjive PHP datoteke ili webshell-ove, izmene u .htaccess datotekama, neobičan izlazni saobraćaj, spam ili phishing aktivnost sa servera, kao i izmene web-sajtova, baza podataka ili e-mail računa. Važne lokacije za pregled logova su: /usr/local/cpanel/logs/access_log, /usr/local/cpanel/logs/login_log, /var/log/secure, /var/log/exim_mainlog i /usr/local/apache/logs/access_log.
Ukoliko postoji sumnja na kompromitaciju, odmah izolujte sistem od javnog pristupa bez brisanja logova, sačuvajte forenzičke podatke, ažurirajte cPanel/WHM, resetujte sve lozinke (root, WHM, reseller, cPanel, FTP, e-mail i baza podataka), povucite sve nepoznate API tokene i SSH ključeve, proverite sve veb-sajtove za webshell-ove i backdoor-e, proverite red čekanja za poštu, proverite DNS zapise i obavestite pogođene korisnike.
Preporuka Sajber Radara
Svi administrator servera i hosting provajderi moraju HITNO da ažuriraju svoje cPanel i WHM sisteme na najnoviju verziju. Preporučujemo da se pored ažuriranja primene dodatne zaštitne mere kao što su ograničenje IP pristupa, aktiviranje automatskih ažuriranja i redovni pregledi logova. Ukoliko postoji bilo kakva sumnja na kompromitaciju, prijavite incident kompetentnim bezbednosnim organima.