cPanel&WHM身份认证绕过漏洞(CVE-2026-41940)安全风险通告

01 漏洞详情

影响组件

cPanel&WHM 是全球主流的 LinuxWeb 托管控制面板，WHM 提供服务器级管理能力，cPanel 面向站点用户提供网站、域名、数据库、邮件等一站式运维管理，广泛应用于虚拟主机、IDC 机房、云服务商与企业自建托管环境，支撑全球数百万站点与服务器的日常运维，具备图形化操作、一键部署、自动化配置等核心能力，是 Web 托管领域最普及的管理平台之一。

漏洞描述

近日，奇安信CERT监测到官方修复cPanel&WHM 身份认证绕过漏洞(CVE-2026-41940)，该漏洞源于登录流程中的会话加载与保存机制存在逻辑缺陷。攻击者通过 Basic 认证头在密码字段注入 CRLF 字符，并利用缺少 ob（对象）部分的会话 cookie 避免密码编码，从而将恶意键值对写入原始会话文件。随后触发 token_denied 流程，使系统重新解析该文件并将注入的 hasroot=1、user=root 等记录提升至 JSON 缓存，最终绕过密码验证获得管理员权限。目前该漏洞PoC和技术细节已公开。鉴于该漏洞已发现在野利用，建议客户尽快做好自查及防护。

02 影响范围

影响版本

cPanel&WHM 11.86.* < 11.86.0.41

cPanel&WHM 11.110.* < 11.110.0.97

cPanel&WHM 11.118.* < 11.118.0.63

cPanel&WHM 11.126.* < 11.126.0.54

cPanel&WHM 11.130.* < 11.130.0.18

cPanel&WHM 11.132.* < 11.132.0.29

cPanel&WHM 11.134.* < 11.134.0.20

cPanel&WHM 11.136.* < 11.136.0.5

WP Squared 11.136.* < 11.136.1.7

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现cPanel&WHM 身份认证绕过漏洞(CVE-2026-41940)，截图如下：

04 处置建议

安全更新

官方已发布安全补丁，请及时更新至最新版本：

cPanel&WHM 11.86.* >= 11.86.0.41

cPanel&WHM 11.110.* >= 11.110.0.97

cPanel&WHM 11.118.* >= 11.118.0.63

cPanel&WHM 11.126.* >= 11.126.0.54

cPanel&WHM 11.130.* >= 11.130.0.18

cPanel&WHM 11.132.* >= 11.132.0.29

cPanel&WHM 11.134.* >= 11.134.0.20

cPanel&WHM 11.136.* >= 11.136.0.5

WP Squared 11.136.* >= 11.136.1.7

下载地址：

https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026

05 参考资料

[1]https://docs.cpanel.net/release-notes/release-notes

[2]https://docs.wpsquared.com/changelogs/versions/changelog/#13617

[3]https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py

[4]https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。