En bref

  • CVE-2026-41940 : contournement d'authentification cPanel & WHM, CVSS 9.8, exploité en masse depuis fin avril 2026.
  • Toutes les versions cPanel postérieures à 11.40 sont concernées, environ 1,5 million de serveurs internet-facing exposés selon Shodan.
  • Patcher immédiatement vers 11.136.0.5 (cPanel & WHM) ou 136.1.7 (WP Squared), pas de contournement viable.

Les faits

Le 28 avril 2026, l'éditeur cPanel a publié en urgence un correctif pour une vulnérabilité critique référencée CVE-2026-41940. Quarante-huit heures plus tard, le chercheur de watchTowr Labs publiait une analyse technique détaillée accompagnée d'une preuve de concept fonctionnelle. Le 1er mai, plusieurs CERT européens dont le CERT-FR relayaient l'alerte. Depuis, l'exploitation massive est confirmée par Censys, Rapid7 et Cato Networks, qui observent des balayages internet ciblant les ports 2083, 2087 et 2096 typiques des installations cPanel.

La faille est un classique du genre : une injection CRLF (Carriage Return Line Feed) dans le processus de chargement de session du démon cpsrvd. Avant même l'authentification, cpsrvd écrit un fichier de session sur disque en se basant sur un cookie nommé whostmgrsession. En omettant un segment attendu du cookie, l'attaquant déclenche un chemin de code qui contourne l'étape de chiffrement. Un en-tête Basic Authorization malformé permet ensuite d'injecter des caractères CRLF bruts, et le système écrit le contenu sans aucun assainissement.

Conséquence directe : l'attaquant insère arbitrairement des propriétés dans son fichier de session, dont user=root. Au prochain appel HTTP, cpsrvd lit cette session, considère l'attaquant comme administrateur racine et lui ouvre l'intégralité de l'interface WHM. Aucun mot de passe, aucun MFA, aucun token. Une simple requête HTTP forgée suffit.

Le périmètre est massif. cPanel reconnaît que toutes les versions supérieures à 11.40 sont impactées, y compris DNSOnly. Selon les données Shodan recoupées par Picus Security, environ 1,5 million d'instances cPanel sont directement exposées sur internet sans filtrage IP. La très grande majorité héberge des sites mutualisés de PME, des hébergeurs locaux et des plateformes WordPress managées.

Plus inquiétant encore, les équipes de Cato Networks et de watchTowr estiment, sur la base de signatures retrouvées dans des honeypots, que l'exploitation dans la nature précède le correctif d'environ deux mois. Autrement dit, des attaquants connaissaient et utilisaient la faille en zero-day depuis le début mars 2026, avant la divulgation officielle. Plusieurs hébergeurs européens auraient déjà constaté des compromissions remontant à cette période.

Le caractère préauthentifié et non interactif de la vulnérabilité la rend triviale à exploiter à grande échelle. Plusieurs scripts d'exploitation circulent désormais sur des forums spécialisés et sont intégrés à des frameworks d'attaque automatisée. Source : avis de sécurité cPanel du 28 avril, rapport Rapid7 du 30 avril, analyse Censys et bulletin CERT-FR.

Impact et exposition

L'exposition est triple. Premièrement, le compromis d'un serveur cPanel donne accès en lecture-écriture à tous les sites hébergés sur la machine, à leurs bases de données MySQL et à leurs comptes mail. Deuxièmement, l'attaquant peut créer de nouveaux comptes WHM, déployer des webshells persistants ou modifier les enregistrements DNS gérés par le serveur. Troisièmement, l'accès root sous-jacent autorise des actions latérales vers d'autres serveurs de l'infrastructure (clés SSH partagées, backups montés en NFS, scripts d''orchestration).

Sont prioritairement exposés : les hébergeurs mutualisés, les revendeurs de baies, les agences web qui gèrent des dizaines de sites clients sur un même WHM, et les TPE/PME qui auto-hébergent leur site sur une instance cPanel sans mise à jour automatique.

Recommandations

  • Mettre à jour immédiatement vers cPanel & WHM 11.136.0.5 ou WP Squared 136.1.7. Pas de contournement applicatif, le patch est obligatoire.
  • Restreindre l''accès aux ports 2083, 2086, 2087, 2095, 2096 par filtrage IP côté pare-feu : autoriser uniquement les plages d''administration connues.
  • Auditer les fichiers de session dans /var/cpanel/sessions/ à la recherche d''entrées suspectes datant de mars-avril 2026, en particulier celles avec user=root pour des sessions inattendues.
  • Vérifier les comptes WHM existants, supprimer ceux non reconnus, faire tourner les mots de passe administrateurs et les clés API.
  • Inspecter le système à la recherche de webshells dans /home/*/public_html/ et de tâches cron suspectes.

Alerte critique

Le CVSS 9.8 ne reflète pas la gravité réelle de cette faille. Avec 1,5 million d''instances vulnérables, une exploitation triviale et préauthentifiée, et un PoC public, cette vulnérabilité est en train de devenir l''un des vecteurs d''initial access les plus utilisés du printemps 2026. Si votre infrastructure utilise cPanel, considérez que vous êtes déjà ciblé et patchez sous 24 heures maximum.

Comment savoir si mon serveur cPanel a déjà été compromis avant le patch ?

Inspectez les logs /usr/local/cpanel/logs/access_log et /usr/local/cpanel/logs/login_log à la recherche de requêtes Basic Auth contenant des séquences encodées CRLF, particulièrement entre début mars et fin avril 2026. Vérifiez la présence de fichiers de session anormaux dans /var/cpanel/sessions/raw/ et recherchez des clés SSH ajoutées dans /root/.ssh/authorized_keys. Toute trace impose une réinstallation complète du serveur.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu''elles ne soient exploitées.

Demander un audit