کشف آسیب‌پذیری در cPanel and WHM

آسیب‌پذیری با شناسه CVE-2026-41940 با شدت 9.8 (Critical) در نرم‌افزار cPanel & WHM شناسایی شده است. این آسیب‌پذیری از نوع Authentication Bypass بوده و در نتیجه ضعف در مدیریت نشست (Session Handling) و اعتبارسنجی ورودی در فرآیند احراز هویت سرویس cpsrvd ایجاد می‌شود.

در این سناریو، مهاجم بدون نیاز به احراز هویت، با دستکاری کوکی نشست (به‌ویژه حذف بخش رمزنگاری‌شده آن) و ارسال درخواست حاوی هدر Authorization شامل کاراکترهای CRLF، ساختار فایل نشست را دچار اختلال می‌کند. این امر موجب می‌شود داده‌های نشست به‌جای یک مقدار یکپارچه، به چندین خط مجزا تفکیک شده و امکان درج مقادیر جعلی فراهم گردد.

در ادامه، مهاجم با تزریق مقادیری نظیر user=root، hasroot=1 و tfa_verified=1 در فایل نشست، و سپس تحریک فرآیند بازپارسی (re-parse) از طریق ارسال درخواست‌های خاص (مانند ایجاد خطای token_denied)، باعث می‌شود این مقادیر به‌عنوان بخشی از نشست معتبر تفسیر شوند. در نتیجه، سطح دسترسی نشست به سطح کاربر root ارتقاء می‌یابد.

این آسیب‌پذیری بدون نیاز به احراز هویت و تنها از طریق دسترسی شبکه قابل بهره‌برداری بوده و به مهاجم امکان می‌دهد فرآیند ورود به سیستم را به‌طور کامل دور زده و به پنل مدیریتی با سطح دسترسی بالا دست یابد. بهره‌برداری موفق از این ضعف می‌تواند منجر به تصرف کامل سرور، دسترسی به اطلاعات حساس، تغییر تنظیمات و اجرای دستورات مدیریتی گردد و تهدیدی جدی برای محرمانگی، یکپارچگی و دسترس‌پذیری اطلاعات محسوب می‌شود.

محصولات آسیب‌پذیر

تمامی نسخه‌های نرم‌افزار cPanel & WHM در بازه‌های زیر در برابر آسیب‌پذیری CVE-2026-41940 آسیب‌پذیر هستند:

11.110.0.0 – 11.110.0.96

11.118.0.0 – 11.118.0.62

11.126.0.0 – 11.126.0.53

11.132.0.0 – 11.132.0.28

11.134.0.0 – 11.134.0.19

11.136.0.0 – 11.136.0.4

توصیه‌های امنیتی

• دسترسی به پورت‌های مدیریتی (2083 / 2087) باید فقط از طریق IPهای مجاز (Whitelist) یا VPN سازمانی محدود شود. همچنین توصیه می‌شود دسترسی مستقیم از اینترنت عمومی به WHM به‌طور کامل مسدود گردد.
• استفاده از Web Application Firewall برای شناسایی و مسدودسازی درخواست‌های مشکوک (به‌ویژه تغییرات غیرعادی در Cookie و Header) ضروری است.

• اطمینان از اعمال وصله امنیتی با اجرای دستور زیر:

  /usr/local/cpanel/cpanel -V