文章总结： CVE-2026-41940是cPanel&WHM的CVSS9.8认证绕过漏洞，允许未认证攻击者通过CRLF注入获取root权限。2026年2月起在野利用，4月底补丁发布后出现大规模自动化攻击，至少4.4万台服务器失陷，涉及勒索软件、僵尸网络和国家级攻击。建议立即更新至安全版本、检查会话文件异常并轮换凭证。 综合评分： 90 文章分类： 漏洞分析,应急响应,威胁情报,漏洞预警,安全运营

【立即应急】cPanel & WHM 认证绕过漏洞（CVE-2026-41940）已被大规模自动化利用

奇安信 CERT

2026年5月6日 16:56 北京

在小说阅读器读本章

去阅读

CVE-2026-41940（cPanel & WHM 认证绕过漏洞）实际利用状况详细分析（截至 2026 年 5 月 6 日）。该漏洞是 cPanel & WHM（以及 WP Squared）中一个CVSS 9.8 的 Critical 认证绕过（Missing Authentication for Critical Function），允许未认证远程攻击者通过 CRLF 注入 + 会话文件/缓存竞争条件，直接获得 WHM 最高管理权限（root 级访问），无需任何凭证或 2FA。

一、利用时间线（真实零日 + 爆发阶段）

▶ 2026年2月23日起（零日阶段，约2个月） 已确认在野利用。知名托管商 KnownHost CEO 公开表示，其网络早在2月下旬就观察到针对性利用，远早于官方披露。攻击者已将此漏洞作为”零日”武器，针对互联网管理平面（hosting 服务器）。

▶ 2026年4月28日 cPanel 官方紧急发布补丁和安全公告。

▶ 4月29日 watchTowr Labs 发布完整技术分析 + PoC（Python 脚本，仅需几条 HTTP 请求即可实现 RCE）。

▶ 4月30日起 CISA 立即将其加入 Known Exploited Vulnerabilities (KEV) 目录，要求联邦机构 5月3日前必须打补丁。利用从”探测”迅速转为大规模自动化攻击。

▶ 5月1-5日 多威胁行为者同时活跃，利用规模爆炸式增长。Shadowserver 蜜罐数据显示4月30日单日峰值 44,000+ 唯一 IP 正在扫描/执行利用/暴力攻击（后续略有下降，但攻击持续）。

二、当前利用规模与趋势（5月最新数据）

暴露面：Rapid7/Shodan 扫描显示约 150万 个互联网暴露的 cPanel 实例；Shadowserver 报告全球约 57万+ 暴露实例（北美占比最高）。

已失陷数量：Shadowserver 确认 至少 44,000+ IP 已被利用（基于蜜罐扫描激增）；Censys 发现 8,859个主机 开放目录中出现”.sorry”加密文件，其中 7,135个 明确运行 cPanel/WHM，证明自动化大规模攻击。

地域分布：美国、法国、荷兰、德国（德国已超4,000实例受影响）为主；东南亚政府/军事目标也被针对。

趋势：披露后24小时内已有数千服务器被攻破；5月4-5日仍持续高强度扫描+加密攻击。多家 CERT（包括加拿大、比利时、意大利等）发出紧急警告。

三、威胁行为者与攻击载荷（多行为体并行）

目前已观察到至少三类独立行为者同时利用此漏洞：

“Sorry” 勒索软件团伙（最突出）

使用 Go 语言编写的 Linux 加密器（VirusTotal 已收录样本）。加密后附加 .sorry 扩展名，使用 ChaCha20 + RSA-2048 保护密钥（无法解密）。每目录投放 README.md 勒索信，Tox ID 固定（3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724）。额外行为：删除备份、窃取 API 密钥（OpenAI/Anthropic、AWS、Stripe 等）、开放目录暴露加密文件。受害者报告：PHP 文件、图片、媒体全被加密，攻击链从初始访问到完整加密仅需几分钟。

Mirai 僵尸网络变种

部署 nuclear.x86 等变种，创建后门账号、关闭日志、修改防火墙、植入挖矿 + DDoS 客户端。

国家级/针对性间谍活动

针对东南亚政府、军事、MSP 和托管商，结合公开 PoC 进行数据外泄（已观察到印尼国防门户被利用）。

四、技术利用链（watchTowr 原文）

攻击者通过以下步骤实现：

① 构造失败登录请求获取会话 Cookie。 ② 使用带 \r\n 的 Basic Auth 密码字段进行 CRLF 注入，伪造 hasroot=1、user=root、tfa_verified=1 等会话键值对（因加密跳过 + 会话文件未过滤）。 ③ 触发会话缓存更新（do_token_denied），将注入内容”提升”到 JSON 缓存。 ④ 后续请求即可绕过所有认证，获得完整 WHM 访问权 → 直接 RCE / 部署恶意负载。

⚠ PoC 已公开（watchTowr GitHub），任何脚本小子均可轻松复用。

五、处置建议

⚠ 任何2026年2月后未打补丁的暴露实例均应视为已失陷。

立即行动：检查补丁版本（cPanel 官方列表：11.110.0.97+、11.118.0.63+ 等）。更新后重启 cpsrvd 服务。临时缓解：封锁 2082/2083/2086/2087 等 WHM 端口，或用 WAF 规则拦截异常 Basic Auth。取证：检查 /var/cpanel/sessions/raw/ 和 /var/cpanel/sessions/cache/ 中异常键值对、bash 历史、异常进程。

后续行动：受影响的用户请立即轮换所有凭证、API 密钥，并考虑完整系统重装。

该漏洞已造成数万服务器实际失陷 + 大规模勒索软件浪潮，是2026年迄今最严重的托管面板事件之一。攻击仍在进行中，建议所有 cPanel 用户今天就验证并打补丁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《【立即应急】cPanel & WHM 认证绕过漏洞（CVE-2026-41940）已被大规模自动化利用》