WebPros cPanel & WHM oraz WP2: luka umożliwiająca pominięcie uwierzytelniania

Krytyczna luka w cPanel & WHM i WP2 pozwala na obejście uwierzytelniania i nieautoryzowany dostęp do panelu kontrolnego.
CVE-2026-41940CVSS 9.3CISA KEVCMS

WebPros cPanel & WHM oraz WP2: luka umożliwiająca pominięcie uwierzytelniania

Krytyczna luka w cPanel & WHM i WP2 pozwala na obejście uwierzytelniania i nieautoryzowany dostęp do panelu kontrolnego.

CVSS
9.3 CRITICAL
EPSS
99.91%
Aktywnie wykorzystywana
tak
Produkt
cPanel & WHM and WP2 (WordPress Squared)

Co wiadomo

W wersjach cPanel i WHM po 11.40 wykryto krytyczną lukę pozwalającą na obejście uwierzytelniania w procesie logowania. Atakujący zdalni bez uwierzytelnienia mogą uzyskać nieautoryzowany dostęp do panelu kontrolnego.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.3) może prowadzić do przejęcia kontroli nad panelem administracyjnym, co zagraża integralności i bezpieczeństwu systemów zarządzanych przez cPanel i WHM. Nieautoryzowany dostęp może skutkować utratą danych, modyfikacją konfiguracji oraz potencjalnym wykorzystaniem zasobów do dalszych ataków.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od WebPros i ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do panelu kontrolnego, monitorować logi pod kątem podejrzanych prób logowania oraz priorytetowo traktować wszelkie działania zabezpieczające. Regularne przeglądy i audyty bezpieczeństwa są wskazane.

Źródła