cPanel - CVE-2026-41940

Date de publication : 30/04/2026

Il s'agit d'une vulnérabilité de contournement d'authentification dans le flux de connexion et de chargement de session du démon cpsrvd.

cPanel & WHM est un panneau de contrôle d'hébergement web pour serveurs Linux. Il permet la gestion de sites web, de bases de données, de comptes de messagerie et de configurations serveur. WHM fournit l'interface d'administration de niveau racine, tandis que cPanel constitue l'interface utilisateur.

Le mécanisme d'injection CRLF (\r\n) est exploitable via un en-tête d'autorisation Basic malveillant : avant toute authentification, cpsrvd écrit un fichier de session sur le disque sans appeler la fonction de sanitisation filter_sessiondata. Un attaquant peut manipuler le cookie whostmgrsession en omettant un segment attendu pour contourner le chiffrement habituel. Des caractères de saut de ligne bruts sont ainsi injectés dans le fichier de session, permettant l'insertion de propriétés arbitraires telles que user=root.

Elle permet à un attaquant distant non authentifié d'obtenir un accès administrateur complet au panneau de contrôle, avec prise de contrôle totale des sites hébergés, bases de données, configurations serveur et comptes de messagerie.

CVE-2026-41940

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Exécution de code arbitraire (à distance)
•   Élévation de privilèges
•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-306 : Missing Authentication for Critical Function

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Code d'exploitation
Un code d'exploitation est disponible en sources ouvertes.

Systèmes ou composants affectés

•   cPanel & WHM toutes versions supérieures à 11.40 jusqu'à 11.86.0.40 inclus
•   cPanel & WHM versions 11.110.0 jusqu'à 11.110.0.96 inclus
•   cPanel & WHM versions 11.118.0 jusqu'à 11.118.0.62 inclus
•   cPanel & WHM versions 11.126.0 jusqu'à 11.126.0.53 inclus
•   cPanel & WHM versions 11.130.0 jusqu'à 11.130.0.17 inclus
•   cPanel & WHM versions 11.132.0 jusqu'à 11.132.0.28 inclus
•   cPanel & WHM versions 11.134.0 jusqu'à 11.134.0.19 inclus
•   cPanel & WHM versions 11.136.0 jusqu'à 11.136.0.4 inclus
•   WP Squared versions 11.136.1 jusqu'à 11.136.1.6 inclus
•   Les versions antérieures à 11.40 ne reçoivent plus de correctif (EOL) et doivent être considérées comme compromises

Contournement provisoire

• Bloquer le trafic entrant sur les ports 2083, 2087, 2095 et 2096 au niveau du pare-feu
• Arrêter les services cpsrvd et cpdavd dans l'attente de l'application du correctif

Solutions ou recommandations

•   cPanel & WHM version 11.86.0.41 et supérieures
•   cPanel & WHM version 11.110.0.97 et supérieures
•   cPanel & WHM version 11.118.0.63 et supérieures
•   cPanel & WHM version 11.126.0.54 et supérieures
•   cPanel & WHM version 11.130.0.19 et supérieures
•   cPanel & WHM version 11.132.0.29 et supérieures
•   cPanel & WHM version 11.134.0.20 et supérieures
•   cPanel & WHM version 11.136.0.5 et supérieures
•   WP Squared version 136.1.7 et supérieures