Kritiska ievainojamība cPanel un WebHost Manager programmatūrā
Ir atklāta kritiska drošības ievainojamība (CVE-2026-41940) cPanel un WHM/ WP2 programmatūrā, kas ļauj uzbrucējam apiet autentifikāciju (authentication bypass), t.i. uzbrucējs bez lietotāja konta var apiet sisēmas pieteikšanās mehānismu un iegūt neautorizētu piekļuvi vadības panelim.
Ietekmētās versijas
Ietekmētas ir visas versijas pēc 11.40 (visas ražotāja atbalstītās versijas). Šobrīd ielāps ir pieejams sekojošām versijām:
cPanel & WHM 11.86.0.41
cPanel & WHM 11.110.0.97
cPanel & WHM 11.118.0.63
cPanel & WHM 11.126.0.54
cPanel & WHM 11.130.0.19
cPanel & WHM 11.132.0.29
cPanel & WHM 11.134.0.20
cPanel & WHM 11.136.0.5
WP Squared 11.136.1.7
Rekomendācijas
Aicinām pēc iespējas ātrāk uzstādīt ražotāja publicētos ielāpus, ja tas vēl nav izdarīts, sekojot ražotāja norādēm mājaslapā: https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
Atjaunot serveri nekavējoties var, izmantojot komandu:
/scripts/upcp --force
Ja atjaunošana kādu iemeslu dēļ vēl nav iespējama, nepieciešams ierobežot ienākošo datu plūsmu uz portiem 2083, 2087, 2095 un 2096.
Papildu informācija:
- https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/
