cPanel & WHM 认证绕过 CVE-2026-41940：CVSS 9.8

执行摘要

2026年4月28日，cPanel发布了一个安全更新，解决了其cPanel & WHM和WP Squared产品中的一个关键认证绕过漏洞。该漏洞被追踪为CVE-2026-41940，根据2026年4月29日Rapid7发布的分析，该漏洞的CVSS得分为9.8，允许未经认证的远程攻击者完全绕过认证机制。该漏洞影响所有在4月28日发布补丁之前的版本。鉴于cPanel & WHM在共享托管环境和管理服务提供商中的广泛部署，潜在影响是巨大的——攻击者获得cPanel实例的管理员访问权限可能会危及数千个托管网站，窃取数据库，并转向相邻基础设施。

技术分析

与cPanel协调披露的Rapid7描述了根本原因为“认证子系统中与会话加载和保存有关的问题”。具体机制涉及cPanel & WHM和WP Squared在认证流程中如何处理会话令牌。未经认证的攻击者可以制作一个恶意请求，操纵会话状态，有效地冒充任何经过认证的用户——包括root管理员——而无需提供有效凭证。

CVSS 9.8得分反映了基于网络的攻击向量、低攻击复杂性、无需特权和无需用户交互的组合。该漏洞可以通过默认的HTTP/HTTPS管理端口（cPanel通常为2082/2083，WHM为2086/2087）被利用。Rapid7指出，该错误存在于cPanel & WHM控制面板和WP Squared WordPress管理插件中，这表明会话处理代码可能在两个产品之间共享。

cPanel在4月28日的发布说明中将修复描述为解决了“与会话加载和保存有关的问题”，但当时没有提供进一步的技术细节。Rapid7在4月29日的随后分析中确认了该漏洞的认证绕过性质，并分配了CVE标识符。根据咨询时间线，该漏洞是由cPanel的安全团队内部发现的。

缓解措施与建议

管理员应立即应用cPanel在2026年4月28日发布的安全更新。受影响的产品包括所有补丁之前的cPanel & WHM和WP Squared版本。cPanel或Rapid7没有识别出除补丁之外的任何变通方法或缓解措施。组织应优先修补面向互联网的cPanel和WHM接口，因为这些是最暴露的攻击面。对于无法立即修补的环境，通过防火墙规则限制对cPanel/WHM管理端口的网络访问可以减少暴露，但这不能替代应用更新。Rapid7建议在补丁窗口后监控认证日志，以寻找异常会话创建活动。