Lỗ hổng nghiêm trọng trong cPanel & WHM bị khai thác dưới dạng Zero-Day trong nhiều tháng

Tin tặc đã khai thác một lỗ hổng bảo mật nghiêm trọng cho phép bỏ qua xác thực trên nền tảng quản lý máy chủ và trang web cPanel & WHM (WebHost Manager) trong nhiều tháng qua.

Lỗi này được theo dõi dưới mã định danh CVE-2026-41940 với điểm số CVSS là 9.8 (mức nghiêm trọng). Vào ngày 28 tháng 4, cPanel đã đưa ra cảnh báo và yêu cầu người dùng cập nhật vá lỗi ngay lập tức, đồng thời xác nhận rằng tất cả các phiên bản phần mềm sau 11.40 đều bị ảnh hưởng.

Lỗ hổng Zero-Day

Ảnh hưởng đến quy trình đăng nhập, khiếm khuyết bảo mật này có thể cho phép những kẻ tấn công từ xa, chưa được xác thực giành quyền truy cập quản trị vào bảng điều khiển, về cơ bản dẫn đến việc chiếm quyền kiểm soát hệ thống.

Trung tâm An ninh mạng Canada cảnh báo rằng việc khai thác thành công vấn đề này có thể cho phép kẻ tấn công sửa đổi cấu hình máy chủ và có thể xâm phạm tất cả các trang web trên các máy chủ hosting chia sẻ.

Công ty an ninh mạng Rapid7 nhận định: "Việc khai thác thành công CVE-2026-41940 cấp cho kẻ tấn công quyền kiểm soát hệ thống máy chủ cPanel, cấu hình và cơ sở dữ liệu của nó, cũng như các trang web mà nó quản lý."

Theo cảnh báo từ Rapid7, một tìm kiếm trên Shodan cho thấy có khoảng 1,5 triệu phiên bản cPanel có thể truy cập từ internet đang có nguy cơ bị tấn công.

Cơ chế hoạt động của lỗi bảo mật

Khi phân tích CVE-2026-41940, công ty quản lý bề mặt tấn công WatchTowr phát hiện ra rằng sau một lần đăng nhập thất bại, trình nền dịch vụ cPanel sẽ ghi một tệp phiên làm việc tiền xác thực (pre-authentication session file) vào đĩa. Kẻ tấn công có thể thao túng cookie để ghi thông tin xác thực do chúng kiểm soát vào tệp đó dưới dạng văn bản thuần.

Về bản chất, lỗi này cho phép kẻ tấn công chèn các ký tự cụ thể qua tiêu đề ủy quyền để ghi các tham số cụ thể vào tệp phiên, sau đó kích hoạt tải lại tệp để xác thực bằng cách sử dụng thông tin xác thực đã được chèn.

Theo một bài đăng trên Reddit của nhà cung cấp dịch vụ lưu trữ KnownHost, lỗ hổng này đã bị khai thác trong tự nhiên (in the wild) kể từ ngày 23 tháng 2 năm 2026.

Các biện pháp khắc phục và vá lỗi

Ngay sau khi nhận được thông báo về vấn đề này, các nhà cung cấp dịch vụ lưu trữ như KnownHost, HostPapa, InMotion, Namecheap và những đơn vị khác đã chặn quyền truy cập vào các cổng cPanel & WHM để triển khai các bản vá một cách an toàn.

Các bản sửa lỗi đã được bao gồm trong các phiên bản cPanel & WHM 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.136.0.5 và 11.134.0.20, cũng như phiên bản WP Squared 136.1.7.

cPanel lưu ý trong bản tư vấn: "Nếu máy chủ của bạn không chạy phiên bản cPanel được hỗ trợ đủ điều kiện để cập nhật này, bạn được khuyến nghị mạnh mẽ nên cập nhật máy chủ càng sớm càng tốt, vì nó cũng có thể bị ảnh hưởng."

Hiện tại, cPanel đã công bố một tập lệnh phát hiện, và WatchTowr đã phát hành công cụ Detection Artifact Generator để giúp các quản trị viên xác định các dấu hiệu bị xâm phạm.