CVE-2026-41940 : 1,5 million de cPanel exposés à un bypass auth

Les faits

cPanel a publié fin avril 2026 un correctif pour CVE-2026-41940, une vulnérabilité critique d'authentification bypass affectant cPanel & WHM, le panneau de contrôle d'hébergement web le plus déployé sur la planète. Le score CVSS de 9.8 reflète la trivialité d'exploitation : aucune authentification requise, aucune interaction utilisateur, vecteur réseau, et impact total sur la confidentialité, l'intégrité et la disponibilité.

La faille tient à une injection CRLF (Carriage Return Line Feed) dans le mécanisme de chargement de session de cpsrvd, le démon principal de cPanel. Concrètement, un attaquant non authentifié envoie une requête HTTP avec un en-tête Authorization basique contenant des caractères \r\n bruts non assainis. cPanel écrit alors ces caractères dans le fichier de session pré-authentification. Lorsque cpsrvd re-parse ce fichier, les lignes injectées deviennent des entrées de session de premier niveau — incluant user=root, hasroot=1, tfa_verified=1, un cp_security_token choisi par l'attaquant et un horodatage successful_internal_auth_with_timestamp frais.

Le résultat : l'attaquant détient une session root authentifiée, contournant 2FA et toutes les protections d'accès. Il prend le contrôle complet du serveur cPanel, de ses configurations, de ses bases de données, et de l'ensemble des sites web hébergés. Sur une instance mutualisée typique, cela peut représenter des centaines de domaines compromis en une seule attaque.

Le périmètre est colossal. Selon Rapid7, environ 1,5 million d'instances cPanel sont exposées publiquement sur Internet, principalement sur les ports 2083 (cpanel), 2087 (whm), 2095 (webmail) et 2096 (webmail HTTPS). Toutes les versions supportées publiées après cPanel 11.40 sont vulnérables, ainsi que WP Squared, le panneau d'hébergement WordPress bâti sur la plateforme cPanel. L'éditeur n'a pas communiqué le nombre exact d'instances réellement vulnérables, mais le périmètre théorique englobe l'écrasante majorité du parc.

Le plus inquiétant est la chronologie d'exploitation. KnownHost, hébergeur managé majeur, a confirmé observer des tentatives d'exploitation actives dès la publication de l'avis. Mais des recherches conduites par watchTowr Labs et Help Net Security suggèrent que la faille était exploitée à l'état de zero-day depuis le 23 février 2026, soit plus de deux mois avant la divulgation publique du 28 avril. Sur cette période, des opérateurs spécialisés dans le mass-hosting compromise ont eu tout le loisir de cartographier et compromettre des dizaines de milliers de cibles.

CISA a ajouté CVE-2026-41940 à son catalogue Known Exploited Vulnerabilities, imposant aux agences fédérales américaines un délai de remédiation court. Le CCB belge a publié un avertissement spécifique exigeant un patching immédiat, sans attendre la fenêtre de maintenance habituelle. Côté français, le CERT-FR a relayé l'avis dans son bulletin d'actualité du 30 avril.

L'attaque n'exige aucune compétence avancée : la PoC publique tient en quelques lignes de Python qui forgent une requête HTTP avec un payload CRLF dans l'en-tête Authorization. Toutes les fonctionnalités de filtrage WAF basées sur des signatures classiques sont contournables car la charge utile reste valide HTTP. Seul un filtrage strict des caractères \r\n dans les en-têtes (RFC 7230) bloque l'attaque.

Au-delà du correctif, la difficulté pour les opérateurs est l'héritage : sur les marchés de l'hébergement low-cost, des dizaines de milliers de revendeurs gèrent des panneaux cPanel sans politique de patch automatique, sans inventaire à jour, et parfois sans contact technique disponible. Ce sont précisément les cibles que viseront les opérateurs de spam, de phishing et de ransomware dans les semaines à venir.

Impact et exposition

Le périmètre d'exposition couvre tous les hébergeurs mutualisés, revendeurs cPanel, sociétés de webmastering qui maintiennent leurs propres serveurs, agences digitales qui exploitent du WordPress en multi-site cPanel, et entreprises qui ont conservé un panneau cPanel pour des raisons historiques. Les conditions d'exploitation sont triviales : il suffit que les ports 2083/2087/2095/2096 soient accessibles depuis Internet et que le serveur tourne une version supérieure à cPanel 11.40 non patchée. Aucun pré-requis d'identifiants, aucun token, aucun social engineering. La compromission d'un serveur cPanel signifie l'accès root au système hôte, donc à l'ensemble des sites des clients hébergés, à leurs bases MySQL, à leurs identifiants FTP, et au mail.

Recommandations

• Appliquer immédiatement le patch publié par cPanel (toutes branches supportées) — pas d'attente de fenêtre de maintenance
• En attendant le déploiement, bloquer en frontal les ports 2083, 2087, 2095 et 2096 sur les IP qui n'appartiennent pas aux administrateurs autorisés (filtrage par allowlist firewall)
• Auditer les fichiers de session dans /var/cpanel/sessions/ pour détecter des entrées contenant user=root, hasroot=1 ou tfa_verified=1 sur des sessions provenant d'IP non administratives
• Vérifier les logs /usr/local/cpanel/logs/login_log et access_log pour des en-têtes Authorization contenant des caractères de contrôle
• Réinitialiser tous les mots de passe root et utilisateurs cPanel après patching, considérer comme compromis tout serveur exposé entre le 23 février et la date d'application du correctif
• Activer la 2FA n'est pas suffisant : le bypass contourne précisément ce contrôle, il faut le patch