網站代管控制台軟體 cPanel 與 WHM(Web Host Manager)近日被揭露存在一個重大身分驗證繞過漏洞(CVE-2026-41940),影響範圍涵蓋全球逾 150 萬台暴露於網際網路的伺服器。美國網路安全暨基礎設施安全局(CISA)已於 5 月 1 日將此漏洞列入已知遭利用漏洞(KEV)目錄,促請相關單位立即採取行動。
漏洞核心:驗證機制遭繞過,攻擊者可取得最高權限
CVE-2026-41940 源自 cPanel 服務守護程式(cpsrvd)在身分驗證完成前即將 session 檔案寫入磁碟的設計缺陷。根據資安研究公司 Rapid7 研究員 Ryan Emmons 的技術分析,攻擊者可透過操控 whostmgrsession cookie,省略特定 cookie 數值片段,藉此規避加密程序。此外,攻擊者可透過惡意的 HTTP 基本授權標頭(basic authorization header)注入 \r\n 字元,在系統未對資料進行清理的情況下,將任意屬性(例如 user=root)寫入 session 檔案,最終取得系統管理員層級的存取權限。
WebPros International L.L.C. 已於 2026 年 4 月 28 日發布安全公告並釋出更新版本。然而,威脅情報顯示,此漏洞最早於 2026 年 2 月 23 日即遭利用,實際利用時間可能更早,遠早於官方公告發布。
攻擊浪潮:公開後 24 小時內逾 4.4 萬個 IP 展開掃描
漏洞公開後,攻擊者的反應極快。根據 Shadowserver Foundation 的蜜罐(honeypot)監測數據,在 2026 年 4 月 30 日,已有至少 4 萬 4千個 IP 位址針對其感測器發動掃描、漏洞利用或暴力破解攻擊。雖然截至 5 月 3 日此數字已降至 3,540,但主動攻擊仍在持續。
資安業者 Censys 亦指出,漏洞公開後不到 24 小時內,已有多個不同攻擊方發動武器化行動,其中包括部署 Mirai 殭屍網路變種,以及名為 Sorry 的勒索軟體。此外,威脅情報公司 Ctrl-Alt-Intel 偵測到一個身分不明的威脅行為者,利用公開的概念驗證(PoC)程式碼,針對菲律賓與寮國的政府及軍事網域,以及美國、加拿大、南非等地的MSP代管業者發動攻擊。
影響範圍:哪些版本受到波及
CVE-2026-41940 影響 cPanel 與 WHM v11.40 以後的所有版本,以及建構於 cPanel 之上的受管理 WordPress 代管平台 WP Squared v136.1.7。根據 Shodan 的掃描結果,目前約有 150 萬台 cPanel 實例直接暴露於網際網路,但實際受影響的易受攻擊版本數量尚不明確。
Rapid7 的 Emmons 強調,一旦攻擊者成功利用此漏洞,將取得對 cPanel 主機系統、其設定與資料庫,以及其代管之所有網站的完整控制權,危害程度不容低估。
五項立即防護措施
面對此漏洞的高風險性,代管業者與企業應立即執行以下防護步驟:
- 升級至修補版本:依照 WebPros 官方安全公告,將 cPanel 與 WHM 更新至已修補版本,並確認目前使用的版本號碼。
- 重啟 cPanel 服務:更新完成後,重新啟動 cPanel 服務守護程式(cpsrvd)以確保修補程式生效。
- 封鎖高風險連接埠:於防火牆層級封鎖 cPanel 與 WHM 相關的對外流量,涉及連接埠(port)包括 2083、2087、2095 及 2096。
- 停用非必要服務:若環境允許,可暫停 cpsrvd 與 cpdavd 服務,以降低暴露面。
- 執行入侵指標檢查:WebPros 已提供專用腳本,協助客戶搜尋已知的入侵指標(IoC),代管業者應立即執行並審查結果。
代管業者的第一線回應
已有多家代管業者在漏洞公告發布後隨即採取行動。受管理代管供應商 KnownHost 執行長 Daniel Pearson 表示,該公司在接獲通知後立即封鎖 WHM 與 cPanel 登入連接埠,並隨後部署安全更新。Pearson 指出,根據其網路的審查結果,目前觀察到的利用行為多屬探測性質,尚未發現主動入侵、惡意酬載植入或其他實質危害的跡象,但仍將對受影響用戶直接進行後續通知。
此次事件再次凸顯代管基礎架構作為供應鏈攻擊入口的高度風險。對於仰賴 cPanel 管理客戶網站的代管業者而言,一旦主機層級遭到入侵,其所有下游客戶的網站、資料庫與設定均可能同步暴露,影響範圍具有明顯的擴散效應。目前 CISA 已明確要求相關單位依循 KEV 目錄時程完成修補,建議所有使用 cPanel 的企業與代管業者將此漏洞列為最高優先處理項目。