Kritiek beveiligingslek in cPanel en WHM actief misbruikt bij aanvallen

In dit artikel:

Een kritieke authenticatie-omzeilingsfout (CVE-2026-41940) in cPanel en WebHost Manager (WHM) wordt actief misbruikt. De kwetsbaarheid maakt het mogelijk dat ongeauthenticeerde aanvallers een sessiebestand manipuleren dat wordt weggeschreven voordat een gebruiker wordt geauthenticeerd; door waarden zoals 'root' toe te voegen en het bestand opnieuw te laden, kunnen zij als beheerder inloggen. WHM is de beheerinterface voor hostingproviders; cPanel bedient individuele hostingaccounts en samen worden via openbare installaties naar schatting tientallen miljoenen domeinnamen beheerd.

Updates en detectiescripts van cPanel zijn op 28 april uitgegeven, maar rapporten en Reddit-meldingen duiden erop dat aanvallen al sinds 23 februari plaatsvinden. Securitybedrijf watchTowr publiceerde proof-of-concept-exploitcode, en Rapid7 waarschuwt voor snel grootschalig misbruik. Zoekmachine Shodan telde ongeveer 1,5 miljoen vanaf het internet bereikbare cPanel-installaties, waaronder ook end-of-life-versies die niet meer ondersteund worden.

Advies: patch direct met de aangeboden updates, draai detectiescripts, blockeer en onderzoek verdachte toegangspogingen en vervang of herstel gecompromitteerde accounts en credentials.