更新時間:2026/05/05 15:10:23
發佈時間:2026/05/05 15:10:23
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2]
網站主機管理軟體cPanel與WHM(WebHost Manager)存在一項身分驗證繞過漏洞(CVE-2026-41940)。該漏洞源於系統於登入失敗時仍會建立暫時性會話(session),未經身分驗證的遠端攻擊者可透過操控該會話儲存機制,注入偽造的驗證狀態(如user=root、hasroot=1、tfa_verified=1),使系統於後續載入會話時誤判為已完成驗證,進而繞過正常登入流程取得未授權的管理員存取權限。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[3]
2. Ctrl-Alt-Intel已發布技術分析報告,並說明觀察到攻擊者利用此漏洞入侵菲律賓、寮國等多個東南亞地區政府及軍事單位。[4]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-41940
描述:
使用版本:CVSS 3.1
分析分數:9.8
參考來源:NVD
▶ 影響平台
⌵
影響平台-系統:
1. cPanel & WHM(含DNSOnly)11.40之後版本均受影響,建議依所使用之版本分支升級至對應已修補版本:
(1)11.86.0系列:建議升級至11.86.0.41或以上版本。
(2)11.110.0系列:建議升級至11.110.0.97或以上版本。
(3)11.118.0系列:建議升級至11.118.0.63或以上版本。
(4)11.124.0系列:建議升級至11.124.0.35或以上版本。
(5)11.126.0系列:建議升級至11.126.0.54或以上版本。
(6)11.130.0系列:建議升級至11.130.0.19或以上版本。
(7)11.132.0系列:建議升級至11.132.0.29或以上版本。
(8)11.134.0系列:建議升級至11.134.0.20或以上版本。
(9)11.136.0系列:建議升級至11.136.0.5或以上版本。
2. WP Squared:建議升級至136.1.7或以上版本。
3. 使用CentOS 6或CloudLinux 6且cPanel版本為110.0.50的系統,建議升級至110.0.103或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 若無法立即完成版本升級,建議參考官方說明,採取以下暫時性緩解措施,以降低漏洞被利用風險;惟此類措施可能影響 cPanel、WHM、Webmail 或 WebDisk 等服務可用性,仍應儘速升級至官方修補版本:
(1)於防火牆封鎖cPanel / WHM相關服務埠(如2083、2087、2095、2096),並停用Service Subdomains,以降低外部透過服務子網域存取管理介面的風險。
(2)停用相關服務(cpsrvd、cpdavd)。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026 | cPanel |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2026-41940 | NVD |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 4 | https://ctrlaltintel.com/research/SEA-CPanel/ | Ctrl-Alt-Intel |
情資編號:
FISAC-200-202605-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞