cPanel 与 WHM 紧急更新修复关键认证绕过漏洞

一个严重漏洞影响了除最新版本之外的所有 cPanel 及 WebHost Manager（WHM）控制面板版本，该漏洞可被利用来在无需认证的情况下访问控制面板。

此安全问题目前编号为 CVE - 2026 - 41940，严重程度评分达 9.8。官方已发布紧急更新，不过需手动运行一条命令来获取软件的补丁版本。

WHM 和 cPanel 归 WebPros International 所有，是基于 Linux 的虚拟主机控制面板，用于服务器和网站管理。其中，WHM 提供服务器级别的控制，而 cPanel 则让管理员能够访问网站后端、网页邮件和数据库。

这两款产品是应用最为广泛的主机控制面板之一，因其标准化界面、对非技术用户友好的操作方式，以及与常见主机堆栈的深度集成，深受众多主机提供商青睐。

目前尚未公开披露技术细节，但该问题的严重程度似乎相当高，例如 Namecheap 为保护客户，在补丁发布前暂时封锁了 WHM 和 cPanel 使用的 2083 和 2087 端口。

Namecheap 表示：“很遗憾告知您，cPanel 软件中发现了一个严重安全漏洞，影响所有当前受支持的版本。”

这家主机提供商称，该漏洞 “与一个身份验证登录漏洞相关，可能导致未经授权访问控制面板”。

在 Namecheap 发出通知几小时后，cPanel 发布安全公告，称以下产品版本已修复此安全问题：
11.110.0.97
11.118.0.63
11.126.0.54
11.132.0.29
11.136.0.5
11.134.0.20

厂商建议管理员执行命令 /scripts/upcp –force 来安装安全版本，该命令会运行 cPanel 更新进程，即便系统认为已处于最新版本，也会强制更新。

运行不受支持版本 cPanel 的服务器无法获得安全更新。在此情况下，建议管理员尽快升级到受支持的版本。

攻击者若获取 cPanel 访问权限，就能控制主机账户内的所有内容，包括网站、数据和邮件等。他们可利用此权限植入后门或网页外壳程序、将用户重定向到恶意网址、窃取敏感文件、发送垃圾邮件或网络钓鱼邮件，或从配置文件中收集密码。

而通过 WHM 能访问整个服务器及其托管的所有网站。这意味着威胁行为者可以创建和删除 cPanel 账户、在机器上建立持久访问权限，并将其用于各种恶意活动（如代理流量、发送垃圾邮件、传播恶意软件、组建僵尸网络等）。

使用受影响管理界面的网站所有者应确保已更新到打补丁的版本。