A cPanel emitiu um alerta urgente nesta terça-feira (28/04) sobre uma vulnerabilidade crítica de bypass de autenticação que está sendo explorada ativamente como zero-day. Identificada como CVE-2026-41940, a falha permite que invasores remotos ignorem os processos de login e obtenham controle administrativo total sobre servidores gerenciados pelas plataformas cPanel, WebHost Manager (WHM) e WP Squared.
Exploração ativa e riscos operacionais
De acordo com relatórios de segurança da VulnCheck e BleepingComputer, a vulnerabilidade vem sendo aproveitada por grupos cibercriminosos desde o final de fevereiro de 2026. O problema reside no fluxo de autenticação das interfaces, permitindo que um atacante não autenticado contorne barreiras de segurança, incluindo mecanismos de 2FA (autenticação de dois fatores), para acessar contas de nível administrativo.
Com o acesso garantido, os criminosos ganham poder para criar ou excluir contas, modificar registros de DNS, acessar bancos de dados confidenciais e instalar scripts maliciosos. A gravidade do incidente é acentuada pela disponibilidade pública de um código de Prova de Conceito (PoC), o que facilita a automação de ataques em escala global contra servidores expostos na internet.
| Plataforma Afetada | Versões Vulneráveis | Versão com Patch (Correção) |
|---|---|---|
| cPanel & WHM 11.136 | Anteriores a 11.136.0.5 | 11.136.0.5 |
| cPanel & WHM 11.134 | Anteriores a 11.134.0.20 | 11.134.0.20 |
| cPanel & WHM 11.132 | Anteriores a 11.132.0.29 | 11.132.0.29 |
| cPanel & WHM 11.118 | Anteriores a 11.118.0.63 | 11.118.0.63 |
| WP Squared | Anteriores a 11.136.1.7 | 11.136.1.7 |
Impacto no ecossistema de hospedagem
A relevância desta notícia reside no domínio de mercado do cPanel, que é o painel de controle mais utilizado em serviços de hospedagem compartilhada no mundo. Um comprometimento no nível do WHM permite que o invasor gerencie não apenas um site, mas todos os domínios hospedados naquele servidor físico, transformando a máquina em um vetor para campanhas de spam, ataques de phishing ou distribuição de ransomware.
Grandes provedores de infraestrutura reagiram prontamente à ameaça. A Namecheap, por exemplo, bloqueou temporariamente as portas de rede 2083 e 2087 em sua rede global para impedir conexões externas às interfaces de gerenciamento até que as atualizações fossem aplicadas. Essa medida preventiva foi necessária devido à pontuação de severidade CVSS de 9.8, que classifica a falha como crítica e de baixa complexidade para execução.
Para administradores de sistemas, a recomendação é a aplicação imediata das correções via terminal através do comando de atualização forçada do software. A negligência na atualização pode resultar na instalação de backdoors persistentes, que permitem o retorno dos atacantes mesmo após a eventual correção da vulnerabilidade original.
O incidente reforça a necessidade de monitoramento constante de logs de acesso. Administradores devem procurar por padrões de login anômalos originados de IPs desconhecidos que não passaram pelos desafios de segurança convencionais. A correção manual é a única forma definitiva de mitigar a exposição diante da circulação do exploit no mercado ilegal de cibercrime.
