本週網站主機管理軟體供應商cPanel揭露與修補重大漏洞CVE-2026-41940,這個嚴重程度高達9.8分的身分驗證繞過漏洞,影響管理主機上個別租用帳號的cPanel、管理整臺代管主機的WHM(WebHost Manager),以及建立在cPanel與WHM架構上的WordPress專用版主機管理平臺WP2(WordPress Squared),該公司已公布完成修補的版本,以及執行軟體更新的步驟與偵測入侵指標(IoC)的指令碼。根據已修補版本的變更記錄描述,此問題的內部編號為CPANEL-52908,涉及連線階段的載入與儲存。
4月30日美國網路安全和基礎設施安全局(CISA)宣布,將CVE-2026-41940加入已知遭利用漏洞清單(KEV),因為他們已掌握漏洞濫用活動開始活躍的證據,要求聯邦機構須於5月3日完成修補。
關於漏洞濫用活動開始出現的時間點,最早可追溯至今年2月。4月29日主機代管服務業者KnownHost執行長Daniel Pearson在社群論壇Reddit表示,曾在2月23日察覺這類嘗試行為,並認為此漏洞必定遭到廣泛濫用,而且至少存在1個月之久,Daniel Pearson本人也確認存取活動與漏洞濫用已成功再現。同日資安公司watchTowr也公布這個漏洞的技術分析、概念驗證程式碼,以及偵測這類行為的Python指令碼。
