Teknologi

En innloggingsfeil etterlot 70 millioner cPanel-nettsteder åpne for hvem som helst

Sårbarheten ble utnyttet allerede før cPanel rakk å sende ut rettelsen. Store webhotell stengte tilgangen til administrasjonsportene mens oppdateringen ble rullet ut — resten av internett tar fortsatt igjen det tapte.
En innloggingsfeil etterlot 70 millioner cPanel-nettsteder åpne for hvem som helst
cPanel bug
Susan Hill
29. april 2026, konsdag. 18.32

En kritisk autentiserings-bypass-sårbarhet i cPanel og WHM lot angripere gå rett inn av hoveddøren til hvilket som helst kontrollpanel som var eksponert mot internett, uten brukernavn eller passord. Sårbarheten, registrert som CVE-2026-41940 med en CVSS-score på 9,8 av 10, rammer alle støttede versjoner av programvaren, som administrerer rundt 70 millioner domener globalt. Sikkerhetsforskere bekrefter at aktive exploits allerede sirkulerte da nødpatchen ble sendt ut — for mange webhotell er spørsmålet ikke lenger om serverne var sårbare, men om de ble kompromittert før oppdateringen nådde dem.

Sårbarheten ligger i cPanels logikk for lasting og lagring av økter, internt sporet som CPANEL-52908. I praksis kunne en angriper sende en feilformet innloggingsforespørsel og motta gyldige øktinformasjoner til en konto angriperen aldri hadde autentisert seg mot — i verste fall inkludert root-tilgang til WHM, dashbordet på serversiden som styrer hostingkontoer, e-postruting, SSL-sertifikater og databasetjenester. Seks versjonsgrener trengte hastig patch: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 og 11.136.0.5. Servere som fortsatt kjører cPanel-versjoner uten støtte, vil ikke motta noen patch og bør behandles som aktivt kompromittert.

cPanel er standardlaget for kontrollpanel i den shared hosting-infrastrukturen som bærer en stor del av forbrukerwebben. En vellykket inntrengning mot en enkelt cPanel-server kan kaskade nedover til tusenvis av underliggende nettsteder — alle domener som ligger på maskinen, pluss e-posten deres, databasene deres og kundefilene. Forskerteamet ved watchTowr Labs beskrev de berørte systemene som administrasjonsplanet for en betydelig del av internett, og én leverandør, KnownHost, bekreftet at utnyttingen allerede pågikk før noen advarsel ble publisert.

Destiny 2 avslører samarbeid med Lucasfilm Games i utvidelsen Renegades

Namecheap, en av de største reseller-aktørene på plattformen, tok det uvanlige skrittet å midlertidig blokkere tilgangen til portene 2083 og 2087 — webinngangene til cPanel og WHM — for alle kunder mens patchen ble rullet ut. Da oppdateringen nådde selskapets Reseller- og Stellar Business-flåter, hadde plattformen vært effektivt mørklagt utad i flere timer. Andre store leverandører publiserte lignende meldinger og anbefalte kunder å kjøre /scripts/upcp –force som root for å tvinge frem oppdateringen i stedet for å vente på det automatiske vedlikeholdsvinduet.

Alarmen fortjener noen nyanser. cPanel selv har ikke publisert dype tekniske detaljer om sårbarheten — det meste av den offentlige analysen kommer fra eksterne forskere som reverse-engineer-er patchen, noe som betyr at de eksakte utnyttingsforholdene fortsatt er delvis tilslørt. Tallet «70 millioner domener» er et langvarig anslag fra cPanels eget markedsføringsmateriale og inkluderer shared hosting-kontoer der én enkelt panelserver håndterer tusenvis av nettsteder; det reelle antallet berørte unike servere er betydelig lavere. Og selv om utnyttelsen er bekreftet før patchen, er det ennå ikke offentliggjort noe stort offentlig brudd tilskrevet denne CVE-en — det kan endre seg i de kommende ukene etter hvert som forensiske undersøkelser avsluttes, eller ikke.

Episoden passer inn i et mønster sikkerhetsforskere har pekt på i årevis: administrasjonslaget for forbrukerhosting er et av de mest verdifulle og minst overvåkede målene på internett. En feil i én enkelt kontrollpanel-komponent kan på samme tid gi en angriper nøklene til tusenvis av små bedrifts- og privatsider med minimalt forsvar, uten eksotiske exploit-kjeder. Authentication bypass-feil i cPanel-klassens programvare omsettes dyrt på underjordiske markeder, og avstanden mellom offentliggjøring og full patch-dekning måles i uker for uadministrerte uavhengige servere — lenge etter at den offentlige nyhetssyklusen har gått videre.

cPanel ga ut nødpatchene 28. april, og Namecheap og andre store leverandører fullførte utrullingen i de tidlige timene 29. april. Administratorer for cPanel- eller WHM-servere bør umiddelbart bekrefte at de kjører en av de patchede buildene og behandle som potensielt kompromittert enhver server som i dagene før patchen kjørte en sårbar versjon eksponert mot internett. cPanel har ikke forpliktet seg til en offentlig post-incident-rapport.

Mer som dette

Den Starlink-tilkoblede autonome dronen som gjør nødsamtalsdispatchering til en algoritmisk beslutning

Den Starlink-tilkoblede autonome dronen som gjør nødsamtalsdispatchering til en algoritmisk beslutning

Motorolas nye Razr Ultra til 1 499 dollar lader en hel dags batteri på 8 minutter

Motorolas nye Razr Ultra til 1 499 dollar lader en hel dags batteri på 8 minutter

Perplexitys Mac-agent koster 200 dollar i måneden og leser e-posten din

Perplexitys Mac-agent koster 200 dollar i måneden og leser e-posten din

SpaceX leverer søknad om historiens største børsnotering: 75 milliarder til 1 750 milliarder dollar

SpaceX leverer søknad om historiens største børsnotering: 75 milliarder til 1 750 milliarder dollar

ICARUS: Console Edition annonsert for PlayStation 5 og Xbox Series-konsoller

ICARUS: Console Edition annonsert for PlayStation 5 og Xbox Series-konsoller

Roland-Garros eSeries og fremveksten av mobil-esport i den digitale idrettskulturen

Roland-Garros eSeries og fremveksten av mobil-esport i den digitale idrettskulturen

Diskusjon

Det er 0 kommentarer.