top of page

Vulnerabilidade grave no cPanel permite invasão de servidores sem senha


Uma vulnerabilidade crítica no cPanel e no WebHost Manager (WHM) está colocando milhões de servidores em risco ao permitir que invasores obtenham acesso administrativo completo sem necessidade de autenticação. Identificada como CVE-2026-41940, a falha recebeu pontuação 9.8 no CVSS, indicando gravidade máxima, e já vem sendo explorada ativamente como zero-day em ataques reais.


De acordo com o alerta divulgado pela própria cPanel e complementado por empresas como Namecheap e Rapid7, a vulnerabilidade afeta praticamente todas as versões modernas da plataforma, amplamente utilizada por provedores de hospedagem em todo o mundo.


Cadeia de ataque: como a exploração acontece

A falha está diretamente relacionada ao fluxo de autenticação do cPanel, especificamente na forma como sessões são criadas e carregadas antes mesmo da validação do usuário.

O ataque segue uma cadeia relativamente sofisticada, mas altamente eficaz:

  1. Manipulação do processo de sessão

    Antes da autenticação, o serviço cpsrvd cria arquivos de sessão no disco. Esse comportamento abre espaço para manipulação.

  2. Injeção CRLF (Carriage Return Line Feed)

    Os invasores exploram uma falha de sanitização ao inserir caracteres especiais (\r\n) por meio de headers maliciosos, como o Basic Authorization.

  3. Corrupção do cookie de sessão

    Ao manipular o cookie whostmgrsession, o atacante consegue evitar o processo de criptografia esperado.

  4. Injeção de privilégios

    A vulnerabilidade permite inserir atributos arbitrários no arquivo de sessão — como user=root.

  5. Escalonamento direto para administrador

    Após o reload da sessão, o sistema reconhece o invasor como usuário autenticado com privilégios máximos.


Esse tipo de falha é particularmente crítico porque elimina completamente a necessidade de credenciais válidas, caracterizando um authentication bypass não autenticado.


Impacto real: comprometimento total do servidor

O comprometimento de um ambiente cPanel vai muito além de um único site. Como o WHM opera no nível administrativo do servidor, o impacto é sistêmico:

  • Acesso a todos os sites hospedados no servidor

  • Leitura e modificação de bancos de dados

  • Criação de contas backdoor

  • Implantação de malware persistente

  • Roubo de credenciais e dados sensíveis

  • Movimentação lateral para redes de clientes


Especialistas destacam que esse tipo de acesso equivale, na prática, a um controle total da infraestrutura.


Exploração ativa e resposta emergencial

Relatos indicam que a vulnerabilidade já vinha sendo explorada há pelo menos 30 dias antes da divulgação pública.


A gravidade do cenário levou grandes provedores de hospedagem a adotarem medidas emergenciais, incluindo:

  • Bloqueio de portas críticas (2083, 2087, 2095, 2096)

  • Restrição temporária de acesso aos painéis

  • Aplicação acelerada de patches


Empresas como Namecheap chegaram a impedir o acesso dos próprios clientes aos painéis até a mitigação completa, evidenciando o nível de risco envolvido.


Mitigações e recomendações

A cPanel orienta ações imediatas para reduzir a superfície de ataque:

  • Atualizar para versões corrigidas (ex: 11.86, 11.110, 11.118, entre outras)

  • Executar o script de atualização: /scripts/upcp --force

  • Reiniciar os serviços após atualização

  • Bloquear temporariamente portas de acesso ao painel

  • Monitorar indicadores de comprometimento (IoCs), como:

    • Sessões com token_denied e cp_security_token

    • Sessões pré-autenticadas com atributos válidos

    • Presença de tfa_verified sem origem válida

    • Campos de senha contendo quebras de linha


Contexto maior: ataque à camada de gestão (management plane)

Esse incidente reforça uma tendência crítica na cibersegurança moderna: ataques direcionados à camada de gerenciamento de infraestrutura.


Plataformas como cPanel funcionam como “pontos de controle centralizados”, o que as torna alvos de alto valor. Quando comprometidas:

  • O atacante não precisa explorar cada aplicação individualmente

  • O controle é obtido de forma centralizada

  • O impacto se multiplica rapidamente (efeito cascata)


Esse tipo de exploração tem sido cada vez mais comum, especialmente em ambientes de hospedagem compartilhada, cloud e provedores SaaS.

 
 
Cópia de Cyber Security Brazil_edited.jpg

Cyber Security Brazil desde 2021, atuamos como referência nacional em segurança digital, oferecendo informação confiável, conteúdo especializado e fortalecendo o ecossistema de cibersegurança no Brasil.

Institucional

contato@cybersecbrazil.com.br

(11)97240-7838

INSCREVA SEU EMAIL PARA RECEBER

ATUALIZAÇÕES, POSTS E NOVIDADES

  • RSS
  • Instagram
  • LinkedIn

© 2025 Todos os direitos reservados a Cyber Security Brazil

bottom of page