Vulnerabilità gravissima in cPanel e WHM: aggiornare immediatamente è obbligatorio (CVSS 9.8) (aggiornato: 1 maggio 2026, ore 10:31)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 14 ore fa
- Pubblicato: 14 ore fa
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Un bypass dell'autenticazione con punteggio CVSS di 9.8 su 10.0, sfruttamento attivo già da febbraio. Circa 1,5 milioni di istanze esposte su Internet e una proof-of-concept pubblica che abbassa la soglia d'ingresso per qualsiasi attaccante. La vulnerabilità critica scoperta in cPanel e WebHost Manager (WHM) - identificata come CVE-2026-41940 - è il tipo di falla che trasforma un pannello di controllo per l'hosting in una porta spalancata verso il compromesso totale del server. cPanel ha rilasciato una patch d'emergenza il 28 aprile, ma chi amministra server basati su questo software deve agire adesso, senza indugi.
La radice del problema: un'iniezione CRLF nel flusso di login
La società di sicurezza offensiva watchTowr ha pubblicato un'analisi tecnica dettagliata del difetto. La causa è tanto elegante quanto pericolosa: un'iniezione di tipo Carriage Return Line Feed (CRLF) nei processi di login e caricamento delle sessioni di cPanel e WHM. L'input controllato dall'utente - proveniente dall'header Authorization - viene scritto nei file di sessione lato server prima che l'autenticazione venga completata e senza alcuna sanitizzazione adeguata.
Il risultato è che un attaccante remoto non autenticato può accedere al pannello di controllo senza fornire una password valida. Le porte interessate sono quelle classiche dell'ecosistema cPanel: 2083 (cPanel SSL), 2087 (WHM SSL), 2095 e 2096. La vulnerabilità colpisce tutte le versioni successive alla 11.40 e si estende anche a DNSOnly e WP Squared, il pannello di gestione WordPress costruito su cPanel.
La descrizione NVD non lascia margini di ambiguità: un bypass dell'autenticazione che consente ad attaccanti remoti non autenticati di ottenere accesso non autorizzato al pannello di controllo. Punto.
Uno zero-day sfruttato per almeno due mesi
Il dettaglio più inquietante non è la gravità tecnica della falla - che pure è estrema - ma la sua cronologia. Questa vulnerabilità è stata sfruttata come zero-day ben prima che cPanel rilasciasse una correzione. Daniel Pearson, CEO di KnownHost, lo ha dichiarato senza giri di parole: «Questo è stato senza dubbio utilizzato sul campo ed è stato rilevato almeno negli ultimi 30 giorni, se non da più tempo.».
KnownHost ha riportato tentativi di sfruttamento risalenti almeno al 23 febbraio 2026. Circa due mesi di esposizione prima della divulgazione pubblica del 28 aprile. Due mesi in cui chi conosceva la falla poteva accedere a server di hosting con la stessa facilità con cui si apre una porta senza serratura. Segnalazioni di sfruttamento attivo sono emerse anche su Reddit e da altri operatori del settore.
watchTowr ha pubblicato un'analisi sufficientemente dettagliata da permettere lo sviluppo di un exploit funzionante. Una proof-of-concept è ormai di dominio pubblico. La finestra temporale per applicare la patch si restringe di ora in ora.
La scala del rischio: 1,5 milioni di istanze esposte
Rapid7 ha citato scansioni Shodan che identificano circa 1,5 milioni di istanze cPanel raggiungibili da Internet. Quante siano ancora vulnerabili è un dato sconosciuto. Ma data la natura del software e la frammentazione della sua base di utenti - dai grandi provider di hosting ai piccoli rivenditori, passando per amministratori di sistema che gestiscono un pugno di siti - è ragionevole aspettarsi che una porzione significativa non abbia ancora applicato la correzione.
L'avvertimento di Rapid7 merita di essere riportato per intero: uno sfruttamento riuscito di CVE-2026-41940 garantisce all'attaccante il controllo sul sistema host cPanel, sulle sue configurazioni e database, e su tutti i siti web che gestisce. Non si parla di un accesso limitato o parziale. Si parla del controllo completo. Defacement massivo, furto di dati, installazione di backdoor persistenti, compromissione a catena di ogni sito ospitato sul server: gli scenari sono tutti plausibili e tutti gravi.
Come applicare la patch
cPanel ha rilasciato versioni corrette per tutti i rami attivamente supportati. Le versioni che risolvono la vulnerabilità sono: 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 e 11.136.0.5. WP Squared è stato corretto nella versione 136.1.7 (11.136.1.7).
La procedura di aggiornamento è lineare. Da root:
- Eseguire l'aggiornamento forzato:
/scripts/upcp --force - Verificare la versione installata:
/usr/local/cpanel/cpanel -V - Riavviare il servizio cpsrvd con un hard restart:
/scripts/restartsrv_cpsrvd --hard
Un avvertimento cruciale: i server con aggiornamenti automatici disabilitati o versioni bloccate non riceveranno la patch automaticamente - l'intervento manuale è obbligatorio. Per i server su CentOS 7 o CloudLinux 7 è necessario impostare manualmente il tier di versione con whmapi1 set_tier tier=11.110. I server CentOS 6 / CloudLinux 6 sulla versione 110.0.50 richiedono una patch dedicata - la v110.0.103 - impostabile con whmapi1 set_tier tier=11.110.0.103.
Il 29 aprile cPanel ha aggiunto uno script di rilevamento per verificare eventuali indicatori di compromissione. Se vengono trovati segnali di intrusione, le azioni raccomandate sono: eliminare tutte le sessioni attive, reimpostare ogni credenziale, esaminare i log e indagare su possibili meccanismi di persistenza lasciati dall'attaccante.
Mitigazioni temporanee per chi non può aggiornare subito
Se per qualche ragione l'applicazione immediata della patch non è possibile - e le ragioni dovrebbero essere molto poche e molto buone - esistono due soluzioni temporanee. La prima: bloccare il traffico in ingresso sulle porte TCP 2083, 2087, 2095 e 2096 a livello di firewall. La seconda: fermare completamente i servizi cpsrvd e cpdavd con la sequenza di comandi API e script fornita da cPanel.
Entrambe le opzioni hanno un costo operativo evidente: rendono il pannello di controllo inaccessibile. È esattamente ciò che ha fatto Namecheap come misura precauzionale prima che la patch fosse disponibile. Il provider ha bloccato le porte 2083 e 2087 tramite regola firewall, rendendo temporaneamente inaccessibili cPanel, WHM, Webmail e Webdisk per i propri clienti. La manutenzione è iniziata alle 19:45 UTC del 28 aprile; entro le 02:42 UTC del 29 aprile la correzione era applicata su tutti i server - Reseller, Stellar Business e i rimanenti.
Ha causato disservizi temporanei, certo. Ma l'alternativa - lasciare un bypass dell'autenticazione con CVSS 9.8 esposto su Internet mentre un exploit pubblico circola liberamente - non era un'opzione ragionevole.
Il quadro complessivo
CVE-2026-41940 ricorda con brutalità una verità scomoda: i pannelli di controllo per il web hosting sono superfici d'attacco ad altissimo valore. Un singolo server cPanel compromesso non è un singolo server compromesso - è potenzialmente decine o centinaia di siti, database, caselle di posta e certificati SSL sotto il controllo di un attaccante. L'effetto moltiplicatore è enorme.
La finestra di sfruttamento pre-divulgazione di almeno due mesi solleva domande legittime su quanti server siano stati già compromessi senza che i loro amministratori lo sappiano. Chi gestisce istanze cPanel non dovrebbe limitarsi ad applicare la patch: dovrebbe eseguire lo script di rilevamento, analizzare i log di accesso sulle porte interessate e cercare attivamente segni di compromissione risalenti a febbraio.
L'aggiornamento è disponibile. Gli strumenti di verifica ci sono. Le scuse per rimandare, no.
Fonti: support.cpanel.net, namecheap.com, gbhackers.com
