édition quotidiennecurated dispatchespas de rewritediffusion à l'aubelecture longuepublication rarearchivé à viesilence, puis signal
veilletechno
security2026.05.01il y a 7 jours2 min de lecture

CVE-2026-41940 : bypass d'auth cPanel/WHM exploité en zero-day depuis février

CVSS 9.8 : une injection dans le header Authorization permet d'accéder à cPanel & WHM sans credentials. Exploité en zero-day depuis le 23 février 2026, patché le 28 avril, PoC public disponible.

#cve#auth#zero-day#cpanel#rce
§

Le 28 avril 2026, WebPros International a publié un avis de sécurité pour CVE-2026-41940, une vulnérabilité critique d'authentification dans cPanel & WHM. La CISA l'a immédiatement ajoutée à son catalogue Known Exploited Vulnerabilities (KEV). La particularité de cette CVE : elle était déjà exploitée activement depuis au moins le 23 février — soit plus de deux mois de zero-day avant tout patch.

cPanel & WHM héberge une fraction importante du web partagé mondial. Une compromission non authentifiée donne accès non seulement au panneau d'administration, mais aussi à toutes les bases de données, configurations DNS, certificats et sites gérés sur le serveur.

Mécanisme technique

La faille est classée CWE-306 : Missing Authentication for Critical Function (CVSS 9.8, réseau, sans authentification préalable). Le vecteur d'exploitation :

  1. L'attaquant envoie une requête HTTP avec un header Authorization spécialement forgé contenant des caractères injectés
  2. cPanel écrit ces valeurs sans validation dans le fichier de session côté serveur
  3. Un rechargement de session déclenche l'authentification avec les credentials injectés
  4. L'attaquant accède à cPanel ou WHM sans avoir fourni de mot de passe valide
# Illustration du header malicieux (simplifié, PoC public WatchTowr)
Authorization: Basic <base64(injected_user:injected_pass\x00...\x0asession_data)>

Toutes les versions de cPanel & WHM postérieures à v11.40 sont affectées, ainsi que WP Squared v136.1.7 (plateforme WordPress managée bâtie sur cPanel).

Points clés

  • CVSS 9.8 — vecteur réseau, sans authentification, impact total (confidentialité, intégrité, disponibilité)
  • Zero-day depuis le 23 février 2026 — les attaquants avaient un avantage de 64 jours sur les défenseurs
  • Patch publié le 28 avril 2026 par WebPros ; mise à jour immédiate recommandée
  • PoC public disponible via WatchTowr Labs depuis la divulgation
  • CISA KEV — les agences fédérales FCEB ont jusqu'au 19 mai 2026 pour appliquer le patch
  • Affecte toutes les versions > v11.40, soit l'ensemble du parc cPanel en production

Mitigation d'urgence

Avant le patch (ou si la mise à jour n'est pas immédiatement possible) :

# Bloquer les ports cPanel/WHM à la périphérie réseau
# 2083 = cPanel HTTPS
# 2087 = WHM HTTPS
# 2095 = Webmail HTTP
# 2096 = Webmail HTTPS
iptables -A INPUT -p tcp --dport 2083 -j DROP
iptables -A INPUT -p tcp --dport 2087 -j DROP
# Arrêter les services si accès non nécessaire depuis internet
systemctl stop cpsrvd cpdavd

Attention : bloquer cpsrvd et cpdavd interrompt les accès légitimes aux panneaux hébergés. À réserver aux contextes où l'accès admin peut se faire via VPN ou bastion.

Contexte

L'analyse détaillée de WatchTowr Labs montre que la faille était exploitée par plusieurs groupes distincts simultanément dès fin février. La publication du PoC suite au patch est conforme à la politique de divulgation responsable — mais accélère mécaniquement la fenêtre d'exploitation pour les serveurs non mis à jour.

Si vous gérez ou utilisez un hébergement cPanel (revendeurs WHM inclus), la priorité est à la vérification immédiate de la version installée et à l'application du patch.

BleepingComputer — analyse et PoC

WatchTowr Labs — analyse technique

Rapid7 ETR — évaluation menace