En bref

  • cPanel publie le 28 avril 2026 un patch d'urgence pour une faille critique de bypass d'authentification touchant toutes les versions supportées de cPanel et WHM.
  • Builds corrigées : 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 et 11.136.0.5 ; mitigation temporaire en bloquant les ports 2083/2087.
  • Action urgente : exécuter /scripts/upcp --force pour appliquer le correctif et restreindre l'accès aux interfaces d'administration aux IP de confiance.

Les faits

Le 28 avril 2026, l'éditeur cPanel a publié en urgence une série de mises à jour correctives pour combler une vulnérabilité critique de contournement d'authentification affectant toutes les branches actuellement supportées de cPanel et WHM (Web Host Manager). L'information a été relayée par The Hacker News, GBHackers et CybersecurityNews dans la journée, tandis que les principaux hébergeurs mondiaux comme Namecheap, InMotion Hosting et Hosting.com ont publié des avis de maintenance d'urgence et coupé temporairement l'accès aux interfaces 2083 et 2087 pour leurs clients. La faille, qualifiée de critique par l'éditeur, affecterait plusieurs chemins d'authentification dans l'écosystème cPanel et permettrait à un attaquant distant non authentifié d'obtenir un accès administrateur direct au panneau de contrôle. Aucun identifiant CVE public n'avait encore été publié au moment de la diffusion de l'alerte, l'éditeur ayant choisi une publication en mode embargo restreint pour limiter la fenêtre d'exploitation. Les versions corrigées disponibles sont 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 et 11.136.0.5 ; toutes les builds antérieures sont vulnérables.

Selon les premiers éléments techniques publiés par cPanel, le défaut concerne la logique de validation des sessions sur plusieurs endpoints de connexion, permettant un contournement complet du couple identifiant/mot de passe sans nécessiter de token valide. L'exploitation est exposée par défaut sur les ports TCP 2083 (cPanel) et 2087 (WHM), accessibles depuis Internet pour la quasi-totalité des serveurs mutualisés et VPS dans le monde.

Impact et exposition

Le parc cPanel/WHM représente plusieurs millions de serveurs dans le monde, principalement chez les hébergeurs mutualisés, revendeurs et VPS managés. Une exploitation réussie permet à l'attaquant d'obtenir un accès root via le compte WHM administrateur, donc de déposer des shells sur l'ensemble des sites hébergés, de modifier les zones DNS, d'exfiltrer les bases MySQL, de réinitialiser les mots de passe email et de pivoter vers les autres clients du serveur. La nature du panneau d'hébergement en fait une cible de choix pour les chaînes d'attaque ransomware et la compromission de masse — un risque comparable à celui décrit dans notre dossier SimpleHelp RMM exploitée par DragonForce.

Les hébergeurs Namecheap, InMotion et Hosting.com ont confirmé avoir bloqué proactivement l'accès aux interfaces de connexion en attendant le déploiement complet du patch. Aucune exploitation active n'est officiellement confirmée à la date du 29 avril 2026, mais les fournisseurs adoptent une posture défensive maximale, signe que le risque d'exploitation imminente est jugé élevé. Les revendeurs cPanel autonomes et les administrateurs gérant leurs propres serveurs doivent considérer toute interface 2083/2087 exposée comme actuellement compromise jusqu'à preuve du contraire, à l'instar des alertes de bypass d'authentification documentées sur nginx-ui ou Quest KACE SMA.

Recommandations immédiates

  • Exécuter sans délai /scripts/upcp --force sur tous les serveurs cPanel/WHM pour récupérer et installer la build patchée correspondant à votre branche.
  • Vérifier après update que la version est bien 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 ou 11.136.0.5 via /usr/local/cpanel/cpanel -V.
  • Bloquer les ports TCP 2083 et 2087 au niveau du firewall (CSF, iptables, security group cloud) pour ne les ouvrir qu'aux IP d'administration de confiance.
  • Activer la double authentification (2FA) WHM et cPanel sur l'ensemble des comptes resellers et administrateurs.
  • Auditer les comptes administrateurs WHM et les SSH keys présentes dans /root/.ssh/authorized_keys à la recherche d'entrées récentes non légitimes.
  • Inspecter les logs /usr/local/cpanel/logs/access_log et /var/log/secure sur les 7 derniers jours pour détecter des connexions WHM réussies sans 4xx préalable, signe possible d'exploitation.

⚠️ Urgence

La faille permet un contournement complet de l'authentification administrateur sur des dizaines de millions de serveurs cPanel exposés Internet. Le patch est disponible mais non automatisé sur les serveurs autogérés. Tout administrateur doit considérer que la fenêtre d'exploitation s'ouvrira dans les heures qui suivent la publication des détails techniques. Patcher sous deux heures, ou couper 2083/2087 immédiatement.

Comment savoir si je suis vulnérable ?

Sur le serveur, exécutez /usr/local/cpanel/cpanel -V pour récupérer la version courante. Si elle est antérieure à 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 ou 11.136.0.5 (selon votre branche LTS, Stable, Release, Current ou Edge), votre serveur est vulnérable. Pour détecter une éventuelle exploitation déjà advenue, vérifiez les fichiers /usr/local/cpanel/logs/login_log à la recherche d'authentifications WHM réussies depuis des IP non listées dans votre /etc/csf/csf.allow.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit