8827太阳集团

首页 > 安全钻研 > 钻研汇报 > 安全缝隙分析

【复现】cPanel & WHM 身份认证绕过缝隙（CVE-2026-41940）

颁布功夫 2026-04-30

cPanel & WHM是宽泛用于虚构主机、共享主机和服务器托管环境的Web治理节造面板，，，，，，，其中WHM重要面向服务器治理员，，，，，，，cPanel面向单个站点或托管账户用户。。。。。。

CVE-2026-41940是cPanel & WHM中的身份认证绕过缝隙，，，，，，，其主题道理是攻击者可通过传染预认证会话文件，，，，，，，使未认证会话被谬误写入认证成功状态字段，，，，，，，从而绕过正常登录校验。。。。。。

凭据攻击面治理平台Censys的数据，，，，，，，截至2026年4月30日，，，，，，，互联网上存在2,762,782个潜在的易受攻击cPanel & WHM事俘。。。。。。由于概想验证缝隙利用法式已经颁布，，，，，，，并且该缝隙已在互联网上宽泛传布，，，，，，，因而对于使用cPanel & WHM的组织而言，，，，，，，该缝隙组成了直接且严沉的风险。。。。。。

缝霞述

CVE-2026-41940缝隙呈此刻cPanel & WHM的登录认证与会话处置流程中。。。。。。正常情况下，，，，，，，用户接见WHM/cPanel登录接口后，，，，，，，系统会为登录流程创建会话文件，，，，，，，用于保留起源地址、登录状态、安全令牌、双成分认证状态等信息。。。。。。即便用户提交了谬误密码，，，，，，，系统也可能天生一个预认证会话，，，，，，，用于纪录本次失败登录过程中的一时状态。。。。。。

缝隙的关键问题在于：预认证会话中的部门字段可在特定认证蹊径下被异常写入。。。。。。若是攻击者机关特殊的认证数据，，，，，，，使密码字段中蕴含换行等分隔字符，，，，，，，并共同异常的会话Cookie状态，，，，，，，就可能导致正本应作为单个字段保留的内容被解析成多个独立的会话键值。。。。。。随后，，，，，，，当服务端沉新加载raw session并写入cache session时，，，，，，，这些伪造字段可能被提升为顶层会话属性。。。。。。

当被传染的会话中出现认证成功状态字段时，，，，，，，后续认证判断可能谬误地以为该会话已经实现认证，，，，，，，从而跳过真实密码校验。。。。。。攻击成功后，，，，，，，攻击者可能以WHM治理身份进入节造面板，，，，，，，进一步执行账户治理、打算工作植入等高危操作。。。。。。

影响领域

cPanel & WHM < 11.110.0.97

cPanel & WHM < 11.118.0.63

cPanel & WHM < 11.126.0.54

cPanel & WHM < 11.130.0.19

cPanel & WHM < 11.132.0.29

cPanel & WHM < 11.134.0.20

cPanel & WHM < 11.136.0.5

缝隙道理

该缝隙性质上是“会话文件注入 + 会话状态提升 + 认证状态信赖不当”共同导致的认证绕过。。。。。。

建复前，，，，，，，saveSession中对pass字段的代码可抽象为：

图片1.png

该逻辑存在两个关键问题。。。。。。

（1）filter_sessiondata()并未强造在saveSession()内部执行，，，，，，，而是依赖分歧挪用方自行挪用。。。。。。若是某条蹊径直接挪用saveSession()，，，，，，，且没有提前过滤 \r、\n、= 等危险字符导致session字段被传染。。。。。。

（2）pass字段是否编码取决于$ob是否存在。。。。。。$ob来自会话Cookie中逗号后的片段，，，，，，，例如：

图片2.png

若是要求中只携带：

图片3.png

则$ob为空，，，，，，，Cpanel::Session::Encoder不会初始化，，，，，，，pass字段也不会被编码。。。。。。补丁新增了对filter_sessiondata()的统一挪用，，，，，，，并在$ob缺失时将密码字段保留为no-ob：加十六进造编码大局，，，，，，，预防CRLF原样进入raw session。。。。。。

Basic Authentication蹊径传染缝隙触发蹊径位于cpsrvd对Basic Authentication的处置逻辑。。。。。。有关代码可抽象为：

图片4.png

这里的脆弱点是：$pass 来自 Authorization: Basic 解码后的密码部门，，，，，，，而 set_pass() 只移除 NUL 字节，，，，，，，不移除 \r 或 \n。。。。。。因而，，，，，，，攻击者能够让 Basic 认证解码了局出现如下结构：

图片5.png

服务端依然以为x\r\n... 是pass字段的值，，，，，，，但当它被写入raw session文件后，，，，，，，文本文件会造成多行key=value结构。。。。。。该蹊径会直接挪用saveSession()，，，，，，，并且$pass中的CRLF会被写入 /var/cpanel/sessions/raw/。。。。。。

缝隙复现

（1）WHM首页如下：

图片6.png

（2）执行POC查看所有账号信息

图片7.png

安全建议

（1）立即升级

cPanel官方已颁布安全布告，，，，，，，请按领导进行建复。。。。。。

（2）一时缓解措施

? 若临时无法升级，，，，，，，可在防火墙上阻止端口2083、2087、2095和2096的入站流量。。。。。。

? 或一时停用有关服务。。。。。。

图片8.png

参考链接：

[1]https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026

8827太阳集团积极防御尝试室（ADLab）

ADLab成立于1999年，，，，，，，是中国安全行业最早成立的攻防技术钻研尝试室之一，，，，，，，微软MAPP打算主题成员，，，，，，，“黑雀攻击”概想首推者。。。。。。截至目前，，，，，，，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计颁布安全缝隙7000余个，，，，，，，持续维持国际网络安全领域一流水准。。。。。。尝试室钻研方向涵盖基础安全钻延注电信运营商基础设施安全钻延注移动终端安全钻延注云安全钻延注信创安全钻延注物联网安全钻延注车联网安全钻延注工控安全钻延注数据安全钻延注5G安全钻延注AI安全钻延注卫星安全钻延注低空安全钻延注高级威胁钻延注攻防系统建设。。。。。。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。。。。。。

上一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】