CVE-2026-41940 : bypass d'auth CVSS 9.8 dans cPanel, exploité deux mois avant le patch

Les faits

Le 28 avril 2026, cPanel a publié en urgence un correctif de sécurité pour CVE-2026-41940, une vulnérabilité d'authentification critique affectant la quasi-totalité des instances cPanel & WHM déployées sur Internet. La faille obtient un score CVSS 3.1 de 9.8 — le niveau maximal pour un vecteur réseau, sans interaction utilisateur et sans authentification préalable.

La vulnérabilité réside dans cpsrvd, le démon central de cPanel qui traite les requêtes d'interface web. Avant qu'une authentification soit vérifiée, cpsrvd écrit un nouveau fichier de session sur le disque. Le problème : le cookie whostmgrsession n'est pas sanitisé avant d'être utilisé pour construire ce fichier. Un attaquant peut injecter des séquences brutes CRLF via un en-tête HTTP Authorization: Basic malicieusement forgé. Le démon écrit alors le fichier de session sans filtrer ces caractères, créant un fichier contrôlé par l'attaquant qui sera accepté comme valide lors de la requête suivante.

L'exploitation se déroule en deux phases. L'attaquant envoie d'abord une requête de connexion malformée avec des caractères CRLF dans l'en-tête d'autorisation, forçant cpsrvd à écrire un fichier de session partiellement contrôlé. Ensuite, une seconde requête utilisant le cookie de session forgé obtient un accès authentifié à WHM — le panneau root — sans avoir fourni de mot de passe valide. L'exploitation est entièrement non authentifiée et ne nécessite que deux requêtes HTTP.

Ce qui aggrave considérablement la situation : la faille était exploitée comme zero-day depuis au moins le 23 février 2026, selon la documentation interne de l'hébergeur KnownHost. Cela représente environ deux mois d'exploitation active avant la publication du premier correctif le 28 avril. Pour tout hébergeur mutualisé ou revendeur dont les serveurs étaient accessibles sur Internet durant cette fenêtre, l'ensemble des sites hébergés — parfois des centaines ou des milliers par machine — doit être considéré comme potentiellement compromis.

L'échelle de l'exposition est massive. Selon les données Shodan compilées par Rapid7, environ 1,5 million d'instances cPanel sont directement accessibles depuis Internet sur les ports 2082, 2083, 2086 et 2087. Le score CVSS de 9.8 reflète précisément cette réalité : attaque réseau, aucune interaction utilisateur, aucune authentification préalable, impact total sur la confidentialité, l'intégrité et la disponibilité. Un PoC public baptisé cPanelSniper est disponible depuis début mai 2026, abaissant significativement la barrière pour les attaquants opportunistes.

Les versions affectées couvrent toutes les installations cPanel & WHM postérieures à la version 11.40, sortie en 2013 — treize ans de déploiements concernés — ainsi que le produit WP Squared basé sur cPanel. L'advisory officiel recommande une mise à jour vers la version 11.122.0.8 (LTS) ou 11.124.0.8 (Current) au minimum. Les systèmes DNSOnly sont également concernés.

La CISA n'avait pas encore ajouté CVE-2026-41940 à son catalogue KEV (Known Exploited Vulnerabilities) à la date de publication de cet article, bien que les critères d'inclusion soient remplis : CVE documenté, patch disponible, exploitation active confirmée sur deux mois. Les équipes sécurité ne doivent pas attendre la confirmation KEV pour traiter cette faille en urgence.

Plusieurs campagnes opportunistes ont été documentées depuis la divulgation publique. Les attaquants ont ciblé en priorité les revendeurs d'hébergement et les petits hébergeurs dont les mises à jour automatiques cPanel étaient désactivées. Une fois l'accès WHM obtenu, les opérations malveillantes ont inclus : injection de webshells PHP, création de comptes administrateurs persistants, installation de cryptomineurs, redirection de trafic à des fins de phishing, et dans plusieurs cas documentés, exfiltration complète des bases de données MySQL via l'interface phpMyAdmin exposée.

Impact et exposition

Tout serveur exécutant cPanel & WHM en version postérieure à 11.40 est exposé si l'interface web est accessible depuis Internet. Les serveurs dont WHM est exclusivement accessible via VPN présentent un risque réduit mais non nul — menace interne ou pivot depuis un segment compromis. Pour les hébergeurs mutualisés, l'impact maximal est le contrôle total du serveur hôte : accès root, bases de données, certificats SSL, configurations DNS et contenus de l'ensemble des domaines hébergés. Pour une agence web gérant ses propres serveurs cPanel, cela signifie la compromission potentielle de tous les sites clients en production.

Recommandations

• Mise à jour immédiate : appliquer le patch cPanel 11.122.0.8 (LTS) ou 11.124.0.8 (Current) via /usr/local/cpanel/scripts/upcp --force
• Audit des accès WHM : examiner les logs /usr/local/cpanel/logs/access_log pour la période du 23 février au 28 avril 2026 ; rechercher des authentifications réussies sans tentative de login préalable ou avec des en-têtes malformés
• Vérification des comptes administrateurs : auditer la liste des comptes WHM pour identifier tout compte suspect créé après le 23 février 2026
• Restriction réseau : restreindre l'accès aux ports WHM (2086/2087) aux seules IP d'administration via pare-feu ou règle CSF/firewalld
• Scan webshells : exécuter un scan de détection de webshells sur l'ensemble des docroots hébergés via ClamAV, ImunifyAV ou grep récursif sur les patterns PHP suspects