cPanel & WHM 身份验证绕过漏洞 (CVE-2026-41940) 分析
CVE-2026-41940 是 cPanel & WHM 中一个严重预认证身份验证绕过漏洞,CVSS 评分为 9.8。该漏洞允许未经身份验证的远程攻击者在无需提供有效凭据的情况下,即可获得 Web Host Manager (WHM) 管理界面的 root 级访问权限。该漏洞已在野外被积极利用,甚至在其补丁发布之前就已存在零日利用的证据。这一缺陷对全球数百万个由 cPanel 托管的网站构成了重大风险,可能导致服务器完全受控、数据泄露以及托管网站、数据库和电子邮件账户的篡改或删除。
漏洞概述
cPanel & WHM 是广泛使用的 Web 托管控制面板软件,用于管理网站和服务器。WHM 提供 root 级别管理权限,而 cPanel 则充当用户界面。CVE-2026-41940 漏洞存在于 cPanel & WHM 的登录和会话加载流程中,特别是在会话处理不当的情况下。攻击者可以通过精心构造的请求,在未经认证的情况下操纵会话信息的存储和解释方式,从而绕过正常的认证流程并建立一个被视为完全认证的会话。
此漏洞的核心在于两个关键弱点的结合利用:
- CRLF 注入 (CRLF Injection): 攻击者可以在 Basic Auth 密码处理过程中注入回车换行符 (
\r\n)。这使得攻击者能够向服务器端会话存储中注入任意的会话键值对。 - 会话文件双存储竞态条件 (Session File Dual-Storage Race Condition): cPanel 同时将会话数据存储在原始文本文件和 JSON 缓存中。攻击者注入的数据在竞态窗口期间得以保留,并被认证层信任,最终导致身份验证绕过。
通过这些手段,攻击者可以篡改 whostmgrsession cookie,从而绕过通常应用于攻击者提供值的加密过程。攻击者可以插入诸如 user=root 等任意属性到他们的会话文件中,并在触发从文件重新加载会话后,获得管理员级别的访问权限. 这一系列操作仅需少量 HTTP 请求,无需有效凭据,即可获得完整的 WHM API 访问权限,并通过合法的 WHM 暴露功能实现 root 级别的远程代码执行.
受影响版本
CVE-2026-41940 影响 cPanel & WHM 11.40 及之后的所有受支持版本,包括 DNSOnly 和 WP Squared 产品。cPanel 已于 2026 年 4 月 28 日发布了紧急安全更新以修复此漏洞。
| 产品 | 受影响版本 | 修复版本 |
|---|---|---|
| cPanel & WHM | 所有 11.40 后的受支持版本 | cPanel 官方发布的最新补丁版本 |
| WP Squared | 所有受支持版本 | 136.1.7 |
技术细节与利用向量
此漏洞的核心在于 cpsrvd(cPanel 服务守护进程)在认证发生之前,将新的会话文件写入磁盘的过程。攻击者可以利用这一机制,通过恶意构造的 HTTP 请求头部,特别是 Authorization 头部,注入包含换行符(\r\n)的 Base64 编码数据。这些换行符将导致服务器在写入会话文件时,将攻击者提供的键值对作为合法会话属性写入。
以下是一个简化的概念性攻击流程:
- 攻击者向 cPanel 或 WHM 接口发送一个包含恶意
Authorization头部的请求。这个头部被 Base64 解码后,会包含 CRLF 字符和伪造的会话属性,例如user=root。 cpsrvd在处理这个请求时,会在身份验证完成之前将这些未经净化的数据写入到服务器端的会话文件中。- 由于竞态条件,系统在从会话文件重新加载会话时,会信任并解析这些被注入的属性。
- 攻击者发送后续请求,导致服务器读取已修改的会话文件,并根据注入的属性建立一个具有 root 权限的会话.
攻击者用于注入任意会话键值对的示例 HTTP 头部片段可能如下所示(为简化说明,实际攻击向量可能更复杂):
Authorization: Basic YWRtaW46%0D%0Auser%3Droot%0D%0A在这里,%0D%0A 代表回车换行符 (CRLF)。当服务器解码此 Base64 字符串并尝试将其写入会话文件时,它会意外地在原始会话数据中插入 user=root,从而劫持会话并获得管理员权限。攻击者可以通过 GProxy 等工具隐藏其真实 IP 地址,进行匿名研究或流量路由,以规避溯源。
影响分析
CVE-2026-41940 的影响极其广泛和严重,因为它允许未经身份验证的攻击者获得最高级别的服务器访问权限。潜在的后果包括:
- WHM 管理界面的完全控制:攻击者可获得 root 权限,完全控制 WHM 管理界面。
- 所有托管 cPanel 账户的访问权限:受影响服务器上的所有 cPanel 账户都可能被访问。
- 数据窃取、修改或删除:托管的网站、电子邮件和数据库内容可能被窃取、修改或删除。
- Webshell、恶意软件或勒索软件部署:攻击者可以在服务器上部署 Webshell、植入恶意软件或勒索软件,例如与 “Sorry” 勒索软件活动相关的 Go 语言 Linux 加密器。
- 横向移动:攻击者可以从受感染的服务器横向移动到同一网络中的其他系统。
- 数据泄露:包括凭据、个人身份信息 (PII) 和业务关键信息在内的数据可能被窃取。
据估计,全球有超过 7000 万个域名使用 cPanel 提供服务,这使得该漏洞的潜在影响范围异常广泛。攻击者利用 Zondex 这样的互联网范围搜索工具,可以快速发现大量暴露在互联网上的 cPanel 实例,并利用此漏洞进行大规模扫描和攻击。已有报道称,在公开披露后 24 小时内,该漏洞就被多个第三方武器化,用于部署 Mirai 僵尸网络变种和 “Sorry” 勒索软件。CISA 已将 CVE-2026-41940 添加到其“已知被利用漏洞 (Known Exploited Vulnerabilities)”目录中,凸显了其高危性和紧迫的修复需求.
缓解措施
针对 CVE-2026-41940 的最终修复方案是立即将 cPanel & WHM 更新到已打补丁的版本。cPanel 已发布了针对所有受支持版本的安全更新,并强烈建议受影响的用户尽快应用供应商提供的补丁以减轻风险。
如果无法立即进行补丁更新,cPanel 建议采取以下临时缓解措施:
- 限制网络流量:在防火墙层面阻止对端口 2083 (cPanel)、2087 (WHM)、2095 (Webmail) 和 2096 (Webmail) 的入站流量。
- 停止相关服务:暂时停止
cpsrvd和cpdavd等 cPanel 内部核心服务。
此外,管理员还应执行以下操作以检测和应对潜在的妥协:
- 审查会话文件:检查会话文件中是否存在异常的、由攻击者注入的键值对或其他异常指标。
- 审计 WHM 访问日志:审查 WHM 访问日志中是否存在未经授权的活动。
- 强制密码重置:如果发现妥协迹象,强制重置 root 和 WHM 用户的密码。
- 检查持久化机制:检查服务器上是否存在攻击者留下的后门或持久化机制。
使用 Secably 等漏洞扫描工具可以帮助组织识别其环境中暴露的 cPanel & WHM 实例,并验证其是否已打补丁,从而有效地进行漏洞管理和风险评估。许多安全解决方案,如 Imperva 的 Web 应用程序防火墙 (WAF),在发布后已提供针对此漏洞的开箱即用保护。