Hacker News 中文摘要

RSS订阅

CPanel与WHM认证绕过漏洞 – CVE-2026-41940 -- CPanel and WHM Authentication Bypass – CVE-2026-41940

文章摘要

文章披露了cPanel和WHM存在的认证绕过漏洞(CVE-2026-41940),该漏洞可能导致严重安全风险。watchTowr实验室通过AI驱动的快速响应机制,帮助客户识别受影响实例并实施主动防御措施,在网络边缘实现自主缓解,以应对快速出现的威胁。

文章总结

标题:互联网再陷危机:cPanel & WHM身份验证绕过漏洞(CVE-2026-41940)深度解析

漏洞概述

安全团队watchTowr Labs披露了cPanel & WHM控制面板中的关键身份验证绕过漏洞(CVE-2026-41940),影响所有当前支持的版本。该漏洞源于会话文件处理过程中的CRLF注入问题,攻击者可借此伪造管理员会话,接管服务器管理权限。已知托管服务商KnownHost已确认野外利用开始出现。

技术细节

  1. 漏洞核心

    • 触发点Cpanel/Session.pm中的saveSession函数未正确处理换行符,导致攻击者通过构造恶意Authorization: Basic头注入任意会话参数。
    • 关键缺陷:当会话cookie中省略<ob>(加密密钥部分)时,密码字段以明文写入磁盘,允许通过\r\n注入伪造会话键值(如hasroot=1tfa_verified=1)。
  2. 利用链

    • 步骤一:通过错误登录生成预认证会话文件。
    • 步骤二:发送无<ob>的cookie和含CRLF的Basic认证头,注入恶意参数到原始会话文件。
    • 步骤三:触发Modify::new/save强制重新解析原始文件,将注入参数提升至JSON缓存顶层。
    • 绕过密码验证:利用注入的successful_internal_auth_with_timestamp参数跳过密码检查。
  3. 影响范围
    漏洞影响cPanel & WHM全系版本(包括11.110.0.97至11.136.0.5的补丁前版本),涉及约7000万域名管理的服务器。

缓解措施

  • 立即升级至以下补丁版本: plaintext 11.110.0.97 | 11.118.0.63 | 11.126.0.54 | 11.132.0.29 | 11.134.0.20 | 11.136.0.5
  • 检测工具:watchTowr已发布漏洞检测脚本供企业自查。

时间线

  • 漏洞披露:2026年4月29日
  • 野外利用:披露同期已发现攻击活动

注:本文经技术性精简,保留关键细节。完整技术分析可参考原始报告。企业用户可通过watchTowr平台获取实时威胁防护支持。

评论总结

总结评论内容如下:

  1. 关于使用成熟解决方案的讨论

    • 主要观点:开发者应避免重复造轮子,尤其是安全相关功能(如会话处理、认证、加密等),应使用经过验证的解决方案。
    • 引用:
      • "Don't solve solved problems... Use boring, proven, widely-audited solutions."(评论3)
      • "cPabel seems to be from 1996. We’ve known this is a mistake since before 1996."(评论9)
  2. 对cPanel安全问题的担忧

    • 主要观点:cPanel作为广泛使用的托管平台,其漏洞影响深远,暴露了互联网基础设施的脆弱性。
    • 引用:
      • "cPanel being the backbone of the internet's cheap hosting layer was already a monoculture risk..."(评论11)
      • "yikes... all currently supported versions of cPanel & WHM"(评论8)
  3. 对潜在攻击的警惕

    • 主要观点:近期漏洞频发,可能被恶意利用(如操纵搜索引擎/AI工具或大规模服务器攻击)。
    • 引用:
      • "The potential here to do all kinds of manipulation... is enormous."(评论10)
      • "I'm worried about having a system with known vulnerabilities..."(评论7)
  4. 对WordPress和旧技术的调侃

    • 次要观点:提及Web开发中遗留技术(如Perl)和WordPress的普遍存在。
    • 引用:
      • "I wonder how much of the web still runs on perl."(评论2)
      • "Wordpress on Cpanel sites is like the Dark Matter of the internet..."(评论4)
  5. 对漏洞披露的肯定

    • 次要观点:赞赏公司及时公开漏洞,而非在黑市交易。
    • 引用:
      • "Good on these companies to publish their findings straight away..."(评论10)

总结:评论聚焦于安全实践(优先使用成熟方案)、cPanel漏洞的严重性及潜在影响,同时包含对旧技术和披露态度的讨论。