CVE-2026-41940 est une injection CRLF CVSS 9.8 dans cPanel & WHM permettant l'accès root sans authentification, en bypassant même le 2FA. Exploitation active depuis février 2026 : 44 000 serveurs déjà compromis sur 1,5 million exposés sur Internet.
En bref
- CVE-2026-41940 : injection CRLF CVSS 9.8 dans cPanel & WHM — un attaquant non-authentifié obtient un accès root complet en contournant simultanément l'authentification principale et le 2FA
- 1,5 million de serveurs cPanel exposés sur Internet selon Shodan ; 44 000 déjà confirmés compromis au 5 mai 2026 — exploitation active depuis au moins le 23 février 2026, deux mois avant la divulgation publique
- Mettre à jour cPanel immédiatement vers les versions patchées et auditer les logs depuis février 2026 : les serveurs exposés non patchés sont des cibles actives en ce moment
Les faits
Le 29 avril 2026, cPanel a divulgué CVE-2026-41940, une vulnérabilité critique d'authentification bypass dans cPanel & WHM (Web Host Manager) avec un score CVSS de 9.8. Cette publication officielle est arrivée tard : selon les analyses de Rapid7 et les témoignages d'hébergeurs managés dont KnownHost, une exploitation ciblée était en cours depuis au moins le 23 février 2026 — soit plus de deux mois avant la divulgation publique. Ce délai zero-day silencieux a donné aux attaquants une fenêtre prolongée pour compromettre des serveurs avant que la moindre mesure défensive soit envisageable.
La vulnérabilité repose sur une injection CRLF (Carriage Return Line Feed) dans les mécanismes de login et de chargement de session de cPanel & WHM. Dans ce contexte spécifique, la chaîne d'exploitation documentée par Rapid7 et Picus Security fonctionne ainsi : l'attaquant injecte des caractères CRLF dans le writer de session de cPanel, ce qui lui permet de créer un fichier de session arbitraire avec les attributs user=root et tfa_verified=1. Ce fichier de session frauduleux est ensuite accepté par le mécanisme de chargement de session, accordant à l'attaquant un accès complet au panel d'administration avec les privilèges root.
Ce double bypass est particulièrement problématique dans son impact pratique. Beaucoup d'administrateurs cPanel ont mis en place l'authentification à deux facteurs (2FA) précisément comme dernier rempart de sécurité. CVE-2026-41940 rend ce rempart complètement inopérant : l'attaquant n'a besoin ni du mot de passe, ni du code 2FA, ni d'aucune autre credential valide. L'injection CRLF contourne les deux couches d'authentification simultanément en construisant une session synthétique qui se présente comme déjà authentifiée et déjà vérifiée.
L'ampleur de l'exposition est considérable. Des scans Shodan effectués par Rapid7 au moment de la divulgation ont recensé environ 1,5 million de serveurs cPanel exposés sur Internet. Censys, de son côté, a comptabilisé plus de 44 000 serveurs déjà confirmés compromis au 5 mai 2026, soit moins d'une semaine après la divulgation publique. Ce chiffre ne représente que les compromissions détectables par des indicateurs externes visibles — le nombre réel est vraisemblablement significativement plus élevé.
Les hébergeurs ont réagi rapidement face à l'urgence. Namecheap, KnownHost, HostPapa et InMotion Hosting ont tous pris des mesures préventives d'urgence en bloquant l'accès aux ports TCP/2083 (cPanel) et TCP/2087 (WHM) depuis Internet dans l'attente des mises à jour de leurs clients. KnownHost a été parmi les premiers à confirmer publiquement l'exploitation active et à alerter sa communauté d'administrateurs.
Les versions de cPanel affectées sont toutes celles antérieures aux releases corrigées suivantes : 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, et 11.136.0.5. La mise à jour doit cibler la version stable correspondant à la branche déployée sur chaque serveur. cPanel publie des mises à jour automatiques par défaut, mais de nombreux hébergeurs désactivent cette fonctionnalité pour maîtriser les fenêtres de maintenance — ces environnements sont les plus exposés.
La fenêtre d'exploitation pré-disclosure est un problème sérieux. Deux mois de zero-day silencieux sur un vecteur d'entrée root signifient que de nombreux serveurs ont été compromis bien avant que leurs administrateurs aient eu la moindre possibilité de se défendre. Les acteurs ayant opéré pendant cette période ont eu le temps d'installer des backdoors persistants (clés SSH, comptes système masqués, tâches cron malveillantes), d'exfiltrer silencieusement des données, et de compromettre les sites et applications hébergés sur les serveurs victimes.
Dans le contexte de l'hébergement partagé — le déploiement le plus courant de cPanel — la compromission d'un seul serveur peut exposer des dizaines à des centaines de sites web clients, leurs bases de données MySQL/MariaDB complètes, leurs boîtes email, leurs fichiers de configuration, leurs clés privées SSL/TLS et leurs credentials FTP.
Impact et exposition
cPanel est l'un des panels d'administration web les plus répandus au monde, utilisé massivement par les hébergeurs mutualisés, les agences web, les PME auto-hébergées et les développeurs indépendants. La population exposée va bien au-delà des administrateurs système : chaque site web, boutique e-commerce, application web et base de données hébergée sur un serveur cPanel vulnérable est potentiellement compromise.
Le timing de l'exploitation (depuis février 2026) signifie que des compromissions antérieures à la divulgation sont probables et doivent être activement recherchées. Un simple patch sans audit forensique préalable risque d'effacer des traces d'intrusion existantes sans les avoir détectées.
Recommandations
- Auditer d'abord les logs de connexion cPanel/WHM depuis le 23 février 2026 avant toute mise à jour — identifier les connexions root anormales, les comptes créés, les modifications de configuration
- Mettre à jour immédiatement cPanel & WHM vers la version patchée correspondant à votre branche (11.110.0.97+, 11.118.0.63+, 11.126.0.54+, etc.)
- Vérifier l'intégrité des fichiers de configuration, des clés SSH autorisées, des comptes système et des tâches cron sur tous les serveurs potentiellement exposés
- Restreindre l'accès réseau aux ports cPanel (2083) et WHM (2087) aux seules adresses IP administratives connues via firewall
- Notifier les clients hébergés d'un éventuel impact et inspecter les espaces de chaque client pour détecter des modifications non-autorisées ou des injections de code
Alerte critique
CVE-2026-41940 (CVSS 9.8) est activement exploitée depuis au moins 2 mois, avec 44 000 serveurs confirmés compromis. Si vous gérez des serveurs cPanel non patchés exposés sur Internet, considérez-les comme potentiellement compromis et lancez un audit forensique AVANT de patcher, pour ne pas effacer les traces d'une intrusion existante. Le 2FA activé ne protège pas contre cette faille.
J'ai activé le 2FA sur cPanel — suis-je protégé contre CVE-2026-41940 ?
Non, pas du tout. C'est précisément ce qui rend cette vulnérabilité particulièrement dangereuse : la chaîne d'exploitation injecte directement tfa_verified=1 dans le fichier de session frauduleux créé via l'injection CRLF. Le 2FA est contourné exactement au même titre que le mot de passe — les deux protections sont neutralisées par la même technique en une seule étape. Aucune mesure d'authentification côté application ne peut compenser cette faille tant que le patch n'est pas appliqué. La seule mitigation réelle en attendant le patch est de bloquer l'accès réseau aux ports 2083 et 2087 depuis toute source non-administrative.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Canvas/Instructure : 275 millions d'étudiants compromis par ShinyHunters
ShinyHunters a compromis Instructure Canvas et volé 3,65 To de données touchant 275 millions d'utilisateurs dans 8 809 institutions mondiales. La plus grande fuite de données éducatives de l'histoire, avec paiement de rançon confirmé le 11 mai 2026.
CVE-2026-20182 : Cisco SD-WAN — bypass auth CVSS 10.0, CISA KEV
CVE-2026-20182 est une faille d'authentification bypass CVSS 10.0 sur Cisco Catalyst SD-WAN activement exploitée par le groupe UAT-8616. CISA l'a inscrit au KEV avec deadline fédérale au 17 mai 2026 — patch immédiat requis sans délai.
FunnelKit WordPress : vol CB actif sur 40 000 boutiques
Une vulnérabilité critique du plugin FunnelKit pour WooCommerce est activement exploitée pour injecter des skimmers JavaScript sur les pages de checkout, dérobant numéros de carte, CVV et adresses de facturation.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire