Uma vulnerabilidade crítica de contorno de autenticação (CVE-2026-41940) está a ser ativamente explorada nos sistemas cPanel, WHM e WP Squared. Segundo as informações partilhadas inicialmente no Reddit e os dados de segurança detalhados pela Rapid7, esta brecha permite que atacantes obtenham acesso não autorizado, com as primeiras tentativas de exploração a remontarem a fevereiro de 2026. A empresa responsável já disponibilizou uma atualização, conforme indicado no boletim de segurança oficial da cPanel.
Detalhes da injeção no sistema
A origem do problema reside numa injeção do tipo Carriage Return Line Feed (CRLF) durante os processos de início de sessão e carregamento no cPanel e WHM. A empresa de segurança watchTowr explicou que a falha decorre do tratamento incorreto de sessões, em que os dados introduzidos pelo utilizador no cabeçalho de autorização são guardados nos ficheiros da sessão sem a devida sanitização. Este processo permite a entrada na plataforma sem a validação da palavra-passe.
Os dados recolhidos através de varrimentos na internet indicam que existem cerca de 1,5 milhões de instâncias expostas online, embora não seja claro quantas estão efetivamente vulneráveis. O sucesso deste ataque entrega ao invasor o controlo total sobre o servidor, incluindo configurações, bases de dados e os websites alojados. Daniel Pearson, diretor executivo da KnownHost, confirmou que a sua empresa registou tentativas de execução desde o dia 23 de fevereiro de 2026.
Medidas de mitigação recomendadas
Perante a gravidade da situação, fornecedores de alojamento como a Namecheap optaram por bloquear temporariamente o acesso externo às portas 2083 e 2087 até que as correções estivessem disponíveis. A atualização lançada a 28 de abril resolve o problema para todas as versões do cPanel posteriores à 11.40, impactando também o painel de gestão WP Squared.
A recomendação principal passa pela instalação das versões fixas (como a 11.136.0.5 para o cPanel e a 11.136.1.7 para o WP Squared) e pelo reinício imediato do serviço cpsrvd. Caso a atualização não seja viável no imediato, os administradores devem bloquear o acesso externo às portas 2083, 2087, 2095 e 2096, ou parar os serviços internos essenciais. Adicionalmente, a equipa da watchTowr disponibilizou um guião próprio para ajudar na deteção de instâncias comprometidas, facilitando a auditoria dos registos e a reposição das credenciais afetadas.
Nenhum comentário
Seja o primeiro!