En bref

  • Une vulnérabilité critique d'authentification touche toutes les versions supportées de cPanel et WHM.
  • Hébergeurs majeurs (Namecheap, InMotion, Hosting.com) ont coupé les ports 2083/2087 dès le 28 avril 2026.
  • cPanel a publié un correctif d'urgence — déploiement immédiat requis.

Les faits

Le 28 avril 2026, cPanel a alerté les hébergeurs sur une vulnérabilité critique affectant le mécanisme d'authentification de cPanel et WHM. La faille permet, selon les premiers éléments diffusés sous embargo aux partenaires, de contourner le contrôle de connexion et d'obtenir un accès administratif sans informations valides. Toutes les versions actuellement supportées sont concernées, sans exception.

Dans la foulée, Namecheap, InMotion Hosting et Hosting.com ont appliqué des règles de pare-feu bloquant les ports TCP 2083 (cPanel) et 2087 (WHM) depuis Internet, le temps de déployer le patch sur leurs flottes. Le 29 avril 2026 à 02:42 UTC, Namecheap confirmait l'application du correctif sur ses serveurs Reseller et Stellar Business. Sources : avis cPanel, statut Namecheap, The Hacker News.

Impact et exposition

cPanel équipe l'écrasante majorité des hébergements mutualisés et VPS Linux dans le monde, avec plusieurs millions d'instances exposées. Une exploitation réussie donne un contrôle total du serveur : déploiement de webshells, vol de bases clients, pivotement vers les sites hébergés. Le périmètre attaqué inclut directement les revendeurs et leurs clients finaux, qui n'ont aucun contrôle sur le calendrier de patch.

Aucune authentification préalable n'est requise pour les scénarios documentés à ce stade, ce qui place la faille dans la catégorie des accès initiaux les plus précieux pour les opérateurs de ransomware.

Recommandations

  • Si vous opérez votre propre serveur cPanel : appliquez immédiatement le correctif d'urgence publié par cPanel et redémarrez les services concernés.
  • Bloquez par pare-feu les ports 2083 et 2087 hors de vos plages IP d'administration tant que le patch n'est pas déployé.
  • Auditez les comptes WHM créés depuis le 25 avril, les clés SSH ajoutées et les fichiers récemment modifiés dans /home/*/public_html.
  • Si vous êtes hébergé chez un revendeur cPanel : contactez votre prestataire pour confirmer l'application du patch et tournez les mots de passe.

Alerte critique

L'absence d'authentification préalable et la nature mutualisée des infrastructures cPanel rendent cette faille particulièrement dangereuse. Tout serveur exposé non patché doit être considéré comme compromis jusqu'à preuve du contraire.

Comment vérifier rapidement si mon serveur cPanel est patché ?

Connectez-vous en SSH et lancez /usr/local/cpanel/cpanel -V. Comparez la version retournée avec la version corrigée annoncée par cPanel dans son advisory du 28 avril 2026. Si vous êtes en LTS et que la mise à jour automatique est désactivée, forcez un upcp --force.

Faut-il considérer un serveur compromis si les ports étaient ouverts au moment de l'alerte ?

Si vos ports 2083/2087 étaient exposés au moins quelques heures entre le 25 et le 29 avril 2026, vous devez procéder à un audit complet : comptes système, crontabs, modules Apache/Nginx chargés, hash des binaires cPanel. La présomption raisonnable, en attendant la publication des indicateurs de compromission, est qu'une exploitation a pu être tentée.

Votre infrastructure d'hébergement est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit