آسیبپذیری با شناسه CVE-2026-41940 با شدت 9.8 (Critical) در نرمافزار cPanel & WHM شناسایی شده است. این آسیبپذیری از نوع Authentication Bypass بوده و در نتیجه ضعف در مدیریت نشست (Session Handling) و اعتبارسنجی ورودی در فرآیند احراز هویت سرویس cpsrvd ایجاد میشود.
در این سناریو، مهاجم بدون نیاز به احراز هویت، با دستکاری کوکی نشست (بهویژه حذف بخش رمزنگاریشده آن) و ارسال درخواست حاوی هدر Authorization شامل کاراکترهای CRLF، ساختار فایل نشست را دچار اختلال میکند. این امر موجب میشود دادههای نشست بهجای یک مقدار یکپارچه، به چندین خط مجزا تفکیک شده و امکان درج مقادیر جعلی فراهم گردد.
در ادامه، مهاجم با تزریق مقادیری نظیر user=root، hasroot=1 و tfa_verified=1 در فایل نشست، و سپس تحریک فرآیند بازپارسی (re-parse) از طریق ارسال درخواستهای خاص (مانند ایجاد خطای token_denied)، باعث میشود این مقادیر بهعنوان بخشی از نشست معتبر تفسیر شوند. در نتیجه، سطح دسترسی نشست به سطح کاربر root ارتقاء مییابد.
این آسیبپذیری بدون نیاز به احراز هویت و تنها از طریق دسترسی شبکه قابل بهرهبرداری بوده و به مهاجم امکان میدهد فرآیند ورود به سیستم را بهطور کامل دور زده و به پنل مدیریتی با سطح دسترسی بالا دست یابد. بهرهبرداری موفق از این ضعف میتواند منجر به تصرف کامل سرور، دسترسی به اطلاعات حساس، تغییر تنظیمات و اجرای دستورات مدیریتی گردد و تهدیدی جدی برای محرمانگی، یکپارچگی و دسترسپذیری اطلاعات محسوب میشود.
تمامی نسخههای نرمافزار cPanel & WHM در بازههای زیر در برابر آسیبپذیری CVE-2026-41940 آسیبپذیر هستند:
11.110.0.0 – 11.110.0.96
11.118.0.0 – 11.118.0.62
11.126.0.0 – 11.126.0.53
11.132.0.0 – 11.132.0.28
11.134.0.0 – 11.134.0.19
11.136.0.0 – 11.136.0.4
- دسترسی به پورتهای مدیریتی (2083 / 2087) باید فقط از طریق IPهای مجاز (Whitelist) یا VPN سازمانی محدود شود. همچنین توصیه میشود دسترسی مستقیم از اینترنت عمومی به WHM بهطور کامل مسدود گردد.
- استفاده از Web Application Firewall برای شناسایی و مسدودسازی درخواستهای مشکوک (بهویژه تغییرات غیرعادی در Cookie و Header) ضروری است.
-
اطمینان از اعمال وصله امنیتی با اجرای دستور زیر:
/usr/local/cpanel/cpanel -V
منابع خبر
https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- 61