CVE-2026-41940

Nome do Software Vulnerável e Versões Afetadas cPanel e WHM versões anteriores a 11.110.0.97 cPanel e WHM versões anteriores a 11.118.0.63 cPanel e WHM versões anteriores a 11.126.0.54 cPanel e WHM versões anteriores a 11.132.0.29 cPanel e WHM versões anteriores a 11.134.0.20 cPanel e WHM versões anteriores a 11.136.0.5 WP Squared versões anteriores a 136.1.7

Description Existe um bypass de autenticação crítico na lógica de sessão de pré-autenticação do daemon de serviço cpsrvd. O problema decorre da sanitização inadequada do cabeçalho Authorization, permitindo uma injeção de Carriage Return Line Feed (CRLF)—uma técnica onde caracteres especiais (r ) são usados para dividir uma única linha de texto em várias linhas. Ao enviar uma solicitação de Autorização Básica especialmente elaborada, um invasor remoto não autenticado pode injetar propriedades arbitrárias, como user=root, em arquivos de sessão temporários armazenados no disco. Ao manipular subsequentemente os cookies e disparar o recarregamento da sessão, o invasor pode enganar o sistema para que ele reconheça esses valores injetados como válidos, concedendo acesso administrativo root total sem a necessidade de senha.

Estima-se que aproximadamente 1,5 a 2 milhões de instâncias estejam expostas mundialmente. A falha tem sido explorada ativamente por vários atores, incluindo o grupo de ransomware Sorry e o ator de ameaças Mr Rot13. Os impactos no mundo real incluem a implantação de ransomware baseado em Golang, a instalação do backdoor Filemanager e o roubo de credenciais por meio de páginas de login falsas. Os invasores também utilizaram o acesso para implantar chaves públicas SSH e webshells PHP para execução remota de comandos.

Recommendations Atualizar para as versões 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 ou 11.136.0.5, conforme aplicável. Atualizar o WP Squared para a versão 136.1.7 ou posterior. Como mitigação temporária, bloqueie o tráfego de entrada nas portas '2082', '2083', '2086', '2087', '2095' e '2096' ou restrinja o acesso a endereços IP estáticos confiáveis via VPN. Como solução paliativa temporária, interrompa os serviços cpsrvd ou cpdavd até que a atualização seja concluída. Realize a rotação completa de todas as senhas de root, WHM, revendedor e usuário, bem como de tokens de API, chaves privadas SSL e chaves SSH.