cPanel登入漏洞讓7,000萬網站對任何人敞開大門

cPanel與WHM中一處嚴重的身份驗證繞過漏洞,讓攻擊者無需使用者名稱與密碼即可從”前門”走進任何公開於網際網路上的控制台。該漏洞被登錄為CVE-2026-41940,CVSS評分為10分制下的9.8分,影響該軟體所有受支援版本,而該軟體在全球管理著大約7,000萬個網域。資安研究人員確認,在緊急修補程式釋出時已有活躍的利用在野中傳播——對許多主機商而言,真正的問題已經不再是”我們的伺服器是否脆弱”,而是”在更新到達之前,是否已經遭到入侵”。

漏洞位於cPanel工作階段載入與儲存邏輯之中,內部追蹤編號為CPANEL-52908。從實際操作層面來看,攻擊者只要發送一個格式不正確的登入請求,就能取得一組自己從未認證過的帳號的有效工作階段憑證——最壞情況下,這代表能夠取得WHM的root級存取。WHM是負責掌控代管帳號、郵件路由、SSL憑證與資料庫服務的伺服器端儀表板。共有六個版本分支需要緊急修補:11.110.0.97、11.118.0.63、11.126.0.54、11.132.0.29、11.134.0.20與11.136.0.5。仍在執行已停止支援版本的cPanel伺服器將完全收不到任何修補程式,應被視為已主動遭入侵。

cPanel是撐起大半消費級網際網路的共享主機基礎設施的標準控制台層。一次成功攻入單一台cPanel伺服器,影響可向下游數千個站台擴散——該主機上託管的全部網域,以及它們的郵件、資料庫與客戶檔案。watchTowr Labs研究團隊將受影響的系統形容為「網際網路相當一部分的管理層平面」,一家主機商KnownHost則確認,在任何公開警告發布之前,實際的利用就已在進行。

平台上規模最大的轉售型主機商之一Namecheap採取了相當罕見的一步:在修補程式部署期間,暫時為所有客戶阻斷了2083與2087連接埠——cPanel與WHM的網頁入口連接埠——的存取。當更新覆蓋到該公司的Reseller與Stellar Business機群時,該平台從外部看來已實質「熄燈」了數小時。其他大型業者也發布了類似建議,並推薦客戶以root身份執行/scripts/upcp –force強制更新,而非等待自動維護時段。

警報需要配上幾項註解。cPanel本身並未公開該漏洞的深度技術細節——絕大多數的公開分析來自外部研究人員對修補程式進行逆向工程,這代表精確的利用條件至今仍有部分尚未明朗。「7,000萬網域」這個數字是cPanel自家行銷資料中長期沿用的估算值,同時包含一台面板伺服器同時託管數千個網站的共享主機帳號;實際受影響的獨立伺服器數量要少得多。而雖然在修補程式之前的利用已獲確認,目前尚未有歸因於該CVE的大規模公開入侵事件被揭露——未來數週可能隨數位鑑識調查收尾而改變,也可能不會改變。

這次事件吻合了資安研究人員多年來反覆提示的一個模式:消費級主機的管理層是網際網路上價值最高、卻最少受到關注的目標之一。控制台單一元件中的一個瑕疵,就能讓攻擊者一次拿到數千個防禦薄弱的中小企業與個人網站的鑰匙,而完全不需要複雜的攻擊鏈。cPanel等級軟體中的身份驗證繞過漏洞在地下市場上的交易價格相當可觀,而對於未受管理的獨立伺服器而言,從揭露到修補程式全面覆蓋的時間差以「週」為單位計算——遠長於公眾新聞週期切換到下一個話題所需的時間。

cPanel於4月28日釋出緊急修補程式,Namecheap與其他主要業者於4月29日的清晨時段完成部署。cPanel或WHM伺服器的管理員應立即確認自己運行的版本號在已修補建置之列,並將修補程式之前數日內執行了存在漏洞版本且暴露在網際網路上的任何伺服器視為可能遭到入侵。cPanel未承諾將發布公開的事後報告。