安全研究人员近日发出警报,指出广泛使用的网页服务器管理软件cPanel及其WebHost Manager(WHM)存在一个新发现的严重漏洞。
该漏洞允许黑客劫持并完全控制运行受影响软件的服务器。据估计,全球有数千万网站所有者使用该软件。
许多商业网络托管公司已为客户系统打上补丁,但cPanel官方仍敦促用户确保系统已更新修复该漏洞,因为该漏洞影响所有受支持的软件版本。
cPanel和WHM是两款用于管理托管网站的服务器软件套件,负责网站托管、邮件管理以及维护互联网域名所需的重要配置和数据库。这两款软件对服务器拥有深度访问权限,恶意黑客一旦利用漏洞入侵,可能获得对受影响软件管理数据的无限制访问权。
该漏洞被官方编号为CVE-2026-41940,允许黑客远程绕过登录界面,直接获得软件管理面板的完全访问权限。
鉴于cPanel和WHM在网络托管行业的广泛应用,尚未修补漏洞的网站可能面临大规模被攻破的风险。
加拿大国家网络安全机构发布公告称,该漏洞可能被利用来攻击共享主机服务器上的网站,例如大型网络托管公司。
该机构表示,“漏洞被利用的可能性极高”,呼吁cPanel用户及其托管服务商立即采取行动,防止恶意入侵。
网络托管巨头Namecheap表示,得知漏洞后已阻止客户访问cPanel面板,以防止漏洞被利用,并争取时间为客户系统打补丁。
HostGator也宣布已修补系统,并将该漏洞视为“关键的身份验证绕过漏洞”。
一家网络托管公司透露,黑客可能已在漏洞被发现前数月开始滥用该漏洞。
KnownHost首席执行官Daniel Pearson在Reddit发帖称,公司早在2月23日就发现了利用该漏洞的尝试。公司曾短暂阻止客户系统访问,随后应用了补丁。
据Pearson介绍,KnownHost网络中数千台服务器中约有30台显示出未经授权的访问尝试迹象,但尚未发现实际被攻破的证据。cPanel也为类似的WordPress管理工具WP Squared发布了安全修复。
