文章摘要
文章披露了cPanel和WHM存在的认证绕过漏洞(CVE-2026-41940),该漏洞可能导致严重安全风险。watchTowr实验室通过AI驱动的快速响应机制,帮助客户识别受影响实例并实施主动防御措施,在网络边缘实现自主缓解,以应对快速出现的威胁。
文章总结
标题:互联网再陷危机:cPanel & WHM身份验证绕过漏洞(CVE-2026-41940)深度解析
漏洞概述
安全团队watchTowr Labs披露了cPanel & WHM控制面板中的关键身份验证绕过漏洞(CVE-2026-41940),影响所有当前支持的版本。该漏洞源于会话文件处理过程中的CRLF注入问题,攻击者可借此伪造管理员会话,接管服务器管理权限。已知托管服务商KnownHost已确认野外利用开始出现。
技术细节
漏洞核心
- 触发点:
Cpanel/Session.pm中的saveSession函数未正确处理换行符,导致攻击者通过构造恶意Authorization: Basic头注入任意会话参数。 - 关键缺陷:当会话cookie中省略
<ob>(加密密钥部分)时,密码字段以明文写入磁盘,允许通过\r\n注入伪造会话键值(如hasroot=1、tfa_verified=1)。
- 触发点:
利用链
- 步骤一:通过错误登录生成预认证会话文件。
- 步骤二:发送无
<ob>的cookie和含CRLF的Basic认证头,注入恶意参数到原始会话文件。 - 步骤三:触发
Modify::new/save强制重新解析原始文件,将注入参数提升至JSON缓存顶层。 - 绕过密码验证:利用注入的
successful_internal_auth_with_timestamp参数跳过密码检查。
影响范围
漏洞影响cPanel & WHM全系版本(包括11.110.0.97至11.136.0.5的补丁前版本),涉及约7000万域名管理的服务器。
缓解措施
- 立即升级至以下补丁版本:
plaintext 11.110.0.97 | 11.118.0.63 | 11.126.0.54 | 11.132.0.29 | 11.134.0.20 | 11.136.0.5 - 检测工具:watchTowr已发布漏洞检测脚本供企业自查。
时间线
- 漏洞披露:2026年4月29日
- 野外利用:披露同期已发现攻击活动
注:本文经技术性精简,保留关键细节。完整技术分析可参考原始报告。企业用户可通过watchTowr平台获取实时威胁防护支持。
评论总结
总结评论内容如下:
关于使用成熟解决方案的讨论
- 主要观点:开发者应避免重复造轮子,尤其是安全相关功能(如会话处理、认证、加密等),应使用经过验证的解决方案。
- 引用:
- "Don't solve solved problems... Use boring, proven, widely-audited solutions."(评论3)
- "cPabel seems to be from 1996. We’ve known this is a mistake since before 1996."(评论9)
对cPanel安全问题的担忧
- 主要观点:cPanel作为广泛使用的托管平台,其漏洞影响深远,暴露了互联网基础设施的脆弱性。
- 引用:
- "cPanel being the backbone of the internet's cheap hosting layer was already a monoculture risk..."(评论11)
- "yikes... all currently supported versions of cPanel & WHM"(评论8)
对潜在攻击的警惕
- 主要观点:近期漏洞频发,可能被恶意利用(如操纵搜索引擎/AI工具或大规模服务器攻击)。
- 引用:
- "The potential here to do all kinds of manipulation... is enormous."(评论10)
- "I'm worried about having a system with known vulnerabilities..."(评论7)
对WordPress和旧技术的调侃
- 次要观点:提及Web开发中遗留技术(如Perl)和WordPress的普遍存在。
- 引用:
- "I wonder how much of the web still runs on perl."(评论2)
- "Wordpress on Cpanel sites is like the Dark Matter of the internet..."(评论4)
对漏洞披露的肯定
- 次要观点:赞赏公司及时公开漏洞,而非在黑市交易。
- 引用:
- "Good on these companies to publish their findings straight away..."(评论10)
总结:评论聚焦于安全实践(优先使用成熟方案)、cPanel漏洞的严重性及潜在影响,同时包含对旧技术和披露态度的讨论。