CVE-2026-41940 (CVSS 9.8) : bypass d'authentification cPanel/WHM activement exploité depuis le 2 mai 2026, environ 1,5 million d'instances exposées et ransomware déployé en moins de 24h après le PoC.
En bref
- CVE-2026-41940 (CVSS 9.8) : bypass d'authentification cPanel/WHM exploité depuis le 2 mai 2026.
- Environ 1,5 million d'instances cPanel exposées sur Internet (télémétrie Shodan).
- Patch disponible (cPanel 11.122.0.5+) ; ransomware déployé en moins de 24h après le PoC.
Les faits
Le 2 mai 2026, l'équipe de recherche Ctrl-Alt-Intel a publié un rapport documentant des attaques actives contre des cibles gouvernementales et militaires aux Philippines et au Laos, ainsi que contre des Managed Service Providers (MSP) et des hébergeurs au Canada, en Afrique du Sud et aux États-Unis. Le vecteur commun : la CVE-2026-41940, une vulnérabilité critique dans cPanel et WHM (Web Host Manager), avec un score CVSS de 9,8.
La faille combine une injection CRLF dans l'écriture de session et un saut de chiffrement déclenché par un cookie malformé. cPanel crée une session temporaire même lorsque le login échoue. L'attaquant injecte des valeurs falsifiées dans cette session, qui est ensuite rechargée par WHM comme si l'authentification root avait réussi. Aucune information d'identification n'est nécessaire pour obtenir un accès administrateur complet à l'instance.
Le délai entre la publication du PoC public et le déploiement de ransomware en environnement réel a été inférieur à 24 heures. Plusieurs souches ont été observées, dont des variantes affiliées à RansomHub et Akira. Les MSP ciblés constituent un accélérateur de propagation : un seul cPanel administrateur compromis ouvre l'accès à l'ensemble des comptes hébergés sur le serveur, soit potentiellement des dizaines à des centaines de clients finaux par incident.
Selon la télémétrie Shodan citée par Hadrian et Picus Security, environ 1,5 million d'instances cPanel sont exposées publiquement sur Internet. Le sous-ensemble vulnérable couvre toutes les versions postérieures à 11.40 sans le patch d'avril, soit la majorité du parc. Help Net Security a confirmé que le bug a été exploité comme zero-day pendant plusieurs mois avant le correctif officiel publié fin avril 2026.
Du côté éditeur, cPanel Inc. a publié les versions correctives 11.122.0.5 et 11.124.0.6 fin avril, accompagnées d'une note demandant un déploiement immédiat. Rapid7 a noté dans son advisory que la chaîne d'exploitation ne nécessite ni interaction utilisateur, ni profil d'attaquant sophistiqué. Un script Python d'exploitation en moins de 100 lignes circule sur les forums clandestins depuis le 30 avril.
Le ciblage géographique observé (Asie du Sud-Est, Amérique du Nord) suggère plusieurs acteurs distincts : un groupe à motivation étatique testant l'accès sur des cibles gouvernementales, et des opérateurs de ransomware déployant des charges utiles sur des MSP commerciaux. MSSP Alert rapporte au moins six incidents confirmés impliquant des fournisseurs de services managés depuis le 3 mai.
L'écosystème français n'est pas épargné. Plusieurs hébergeurs mutualisés et revendeurs régionaux utilisent cPanel comme couche d'administration. Une remontée informelle de la communauté SOC francophone fait état de tentatives d'exploitation détectées sur des honeypots français entre le 4 et le 6 mai 2026, ce qui confirme que la France figure dans le périmètre des scans automatisés.
Source : Ctrl-Alt-Intel research, Help Net Security, Rapid7, Hadrian, Picus Security, MSSP Alert, Security Affairs.
Impact et exposition
Toutes les instances cPanel/WHM postérieures à la version 11.40 et antérieures aux versions 11.122.0.5 ou 11.124.0.6 sont concernées. Le port d'écoute par défaut (2087 pour WHM, 2083 pour cPanel) est exposé directement à Internet dans la plupart des configurations standard. Aucune authentification ni interaction utilisateur n'est requise. Tout panneau cPanel atteignable depuis Internet doit être considéré comme une cible immédiate.
Pour les MSP et hébergeurs, le risque est cascade : un compromis administrateur sur le serveur d'hébergement donne accès en lecture-écriture à tous les sites clients, leurs bases de données, leurs sauvegardes et leurs comptes mail. La compromission peut servir de tremplin pour du ransomware multi-locataires, du vol de données massif ou du détournement DNS pour des campagnes de phishing.
Recommandations
- Patcher immédiatement vers cPanel 11.122.0.5 ou 11.124.0.6 — pas dans 48h, maintenant.
- Restreindre l'accès aux ports 2082, 2083, 2086, 2087 derrière un VPN ou une whitelist d'IP administrateur.
- Auditer les logs de session WHM des 60 derniers jours pour détecter les sessions root non liées à un login légitime.
- Forcer la rotation de tous les mots de passe administrateurs cPanel et des clés API ayant un privilège élevé.
- Vérifier l'intégrité des fichiers /var/cpanel/ et /usr/local/cpanel/ — un attaquant aura potentiellement déposé des webshells persistants.
- Pour les MSP : prévenir les clients dont l'hébergement repose sur cPanel d'effectuer un audit de leurs sites et bases.
Alerte critique
Si votre instance cPanel est exposée à Internet et n'a pas été patchée depuis le 30 avril 2026, considérez-la comme potentiellement compromise et lancez une investigation forensique avant de patcher. Patcher sur un système déjà compromis ne supprime pas la backdoor de l'attaquant.
Comment savoir si mon serveur cPanel a déjà été compromis ?
Recherchez dans /usr/local/cpanel/logs/access_log les requêtes POST vers /login, /cpsess et /scripts2/ avec des cookies malformés (caractères CRLF, octets nuls). Vérifiez aussi /var/cpanel/users pour des comptes administrateurs récemment créés non liés à une commande légitime. Un IOC fiable : présence d'un fichier .htaccess dans /usr/local/apache/htdocs/ avec des règles de redirection inhabituelles vers des domaines tiers.
Le WAF Cloudflare ou ModSecurity peut-il bloquer cette exploitation ?
Partiellement seulement. Les règles ModSecurity OWASP CRS détectent les caractères CRLF dans les cookies, ce qui couvre une partie des PoC publics. Mais les attaquants chiffrent leur payload ou contournent les règles via encodage. Le WAF doit être considéré comme une couche de réduction de risque temporaire, pas comme une alternative au patch.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Meta licencie 8 000 personnes le 20 mai pour financer l'IA
Meta démarre le 20 mai 2026 le licenciement de 8 000 personnes (10 % des effectifs) pour financer un capex IA 2026 de 115 à 135 milliards de dollars.
Gemini 3.1 Flash-Lite GA : Google casse les prix de l'IA
Google bascule Gemini 3.1 Flash-Lite en disponibilité générale le 7 mai 2026 à 0,25 $ par million de tokens, ciblant les workloads agentiques à fort volume.
vm2 : 12 CVE critiques, le bac à sable Node.js explose
Douze vulnérabilités critiques publiées le 7 mai 2026 permettent l'évasion totale du sandbox vm2, librairie Node.js déployée dans des milliers de plateformes SaaS et serverless.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire