Faille critique de cPanel et WHM exploitée en zero-day, PoC désormais disponible

Faille critique de cPanel et WHM exploitée en zero-day, PoC désormais disponible

Les attaquants exploitent activement la faille critique d’authentification CVE-2026-41940 affectant cPanel, WHM et WP Squared. Des tentatives d’exploitation remontent à fin février.

KnownHost, un hébergeur utilisant cPanel, a signalé des exploits réussis avant la publication du correctif. Son dirigeant, Daniel Pearson, mentionne des essais dès le 23 février 2026.

Une injection CRLF au cœur du problème

Les détails techniques récents mettent en lumière une injection CRLF dans les processus de connexion et de chargement des sessions de cPanel et WHM. Selon le rapport de la société de sécurité offensive watchTowr, le défaut provient d’une gestion défaillante des sessions : des données contrôlées par l’utilisateur, issues de l’en-tête Authorization, s’écrivent directement dans les fichiers de session côté serveur, sans vérification ni assainissement préalable à l’authentification.

Les chercheurs de watchTowr décrivent précisément le déclenchement de la vulnérabilité, permettant une connexion sans validation du mot de passe. Ces éléments facilitent la création d’exploits fonctionnels.

Réponse rapide des éditeurs et hébergeurs

cPanel a déployé un patch le 28 avril, sous la pression des hébergeurs. Namecheap a provisoirement bloqué l’accès aux ports 2083 et 2087 de cPanel et WHM pour sécuriser ses clients.

Rapid7 indique que Shodan détecte environ 1,5 million d’instances cPanel accessibles sur Internet, sans chiffre précis sur les vulnérables. Une exploitation réussie confère au pirate le contrôle total du système hôte, de ses configurations, bases de données et sites web gérés.

Versions impactées et mesures correctives

L’éditeur précise que la faille touche aussi WP Squared et concerne uniquement les versions de cPanel postérieures à 11.40. Un redémarrage du service cpsrvd s’avère nécessaire après installation des mises à jour :

  • cPanel/WHM 11.110.0 → corrigé en 11.110.0.97
  • cPanel/WHM 11.118.0 → corrigé en 11.118.0.63
  • cPanel/WHM 11.126.0 → corrigé en 11.126.0.54
  • cPanel/WHM 11.132.0 → corrigé en 11.132.0.29
  • cPanel/WHM 11.134.0 → corrigé en 11.134.0.20
  • cPanel/WHM 11.136.0 → corrigé en 11.136.0.5
  • WP Squared 11.136.1 → corrigé en 11.136.1.7

En attendant les correctifs, il faut restreindre l’accès externe aux ports 2083, 2087, 2095 et 2096, ou arrêter les services internes cpsrvd et cpdavd.

cPanel fournit un script de détection de compromission. En cas d’indices, purger les sessions, réinitialiser les identifiants, examiner les journaux et traquer les mécanismes de persistance. watchTowr propose également un générateur d’artefacts de détection pour tester la vulnérabilité des instances.