cPanel & WHM认证绕过零日漏洞(CVE-2026-41940)：互联网管理面板的“多米诺骨牌”倒塌

🔓 Critical 漏洞利用

安全研究人员发现cPanel & WHM所有受支持版本中存在一个严重的认证绕过漏洞（CVE-2026-41940），该漏洞源于会话加载与保存过程中的输入验证不完善，允许攻击者通过精心构造的会话数据绕过认证，获得服务器root级管理权限。已知Host已确认该漏洞在野外被积极利用，作为零日漏洞攻击互联网上大量共享托管基础设施。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• 漏洞影响cPanel & WHM所有受支持版本（110.0.x至136.0.x），覆盖超过7000万个域名。
• 漏洞根源是saveSession函数中filter_sessiondata调用时机不当，导致CRLF注入和目录遍历等攻击向量可被利用。
• 补丁将filter_sessiondata调用移至saveSession内部，并引入了新的十六进制回传编码逻辑，以防御会话数据篡改。
• 会话文件结构分析显示，攻击者可通过伪造pass字段中的换行符注入恶意会话属性，从而提升权限或绕过认证。

⚔️ 攻击链分析

1. 攻击者向cPanel/WHM的登录接口发送包含恶意会话Cookie的请求，Cookie中包含精心构造的session name和ob段；2. cpsrvd服务解析会话文件时，由于filter_sessiondata调用缺失，恶意数据（如\nhasroot=1）被写入pass字段；3. 会话文件被重新加载时，注入的属性被解析，导致攻击者获得root级管理权限或绕过认证。

🚩 失陷指标 (IOC)

• 会话文件中包含异常的换行符或等号注入的pass字段
• 日志中记录大量来自同一IP的失败登录尝试后突然成功登录的行为

🛡️ 缓解建议

• ✅ 立即升级cPanel & WHM至补丁版本：110.0.x至11.110.0.97、118.0.x至11.118.0.63、126.0.x至11.126.0.54、132.0.x至11.132.0.29、134.0.x至11.134.0.20、136.0.x至11.136.0.5。
• ✅ 在网络边缘部署主动防御规则，监控并阻断异常会话Cookie或包含CRLF注入特征的请求。
• ✅ 限制WHM管理接口的访问来源IP，仅允许可信IP段访问2087端口。

涉及漏洞：["CVE-2026-41940"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。