4 月 28 日,cPanel 官方披露 CVE-2026-41940 身份验证绕过漏洞,CVSS 9.8(严重),11.40 之后全版本受影响。第二天 watchTowr Labs 就放出了完整技术分析和 PoC。漏洞一句话:CRLF 注入搭一个缺 ob 段的会话 cookie,攻击者远程绕过登录直接拿 WHM 面板完整控制权。Namecheap、HostGator、KnownHost 均确认遭利用尝试。KnownHost 原话更直白——黑客把它当零日武器化已经好几个月了。全球约 150 万台服务器受影响,就算你自己没装 cPanel,你的托管商八成在用。
watchTowr 技术分析:https://labs.watchtowr.com/...cve-2026-41940/
漏洞出在 cpsrvd 处理 HTTP Basic 认证那一段。攻击者在 Authorization 头的密码字段塞 CRLF(\r\n),同时发一个不带 ob 段(逗号后面那个 32 位 hex)的会话 cookie。ob 没了,密码编码就被跳过,hasroot=1、user=root、successful_internal_auth_with_timestamp=… 等键值对原样写进 raw 会话文件。接着访问一个不带 cp_security_token 的 URL,触发 do_token_denied → Modify::new → Modify::save 链路,cpsrvd 被迫从 raw 文件重解析会话,注入的键被提进 JSON 缓存。到这一步,每次请求 cpsrvd 都当你是 root,password 验证被 successful_internal_auth_with_timestamp 彻底绕过。全程不需要任何有效凭据。
受影响的不只是共享托管和 Reseller 主机,独服、DNSOnly 版本全在范围内。WP Squared(cPanel 旗下的 WordPress 托管平台)同样中招。关键一句:就算你 VPS 上没装 cPanel,只要上游托管商后台是它,你的数据就在风险池里。
补丁版本
cPanel 4 月 28 日已推自动更新。先确认你跑的是哪个版本:
cat /usr/local/cpanel/version
各版本线补丁:
- 11.110 → 11.110.0.97
- 11.118 → 11.118.0.63
- 11.126 → 11.126.0.54
- 11.132 → 11.132.0.29
- 11.134 → 11.134.0.20
- 11.136 → 11.136.0.5
如果是手动更新,直接跑:
/scripts/upcp --force
没装 cPanel 也要看
很多 VPS 玩家觉得「我命令行搞定一切,没用面板,跟我没关系」。不一定。共享主机、Reseller 主机、Managed VPS,托管商后台大概率就是 cPanel/WHM。托管商被黑,你的数据也在那台机器上。Namecheap、HostGator、KnownHost 相继发公告本身就是信号——这波攻击瞄准的就是海量中小托管商。
建议:查一下你的托管商有没有发相关公告。有条件的话,近期做一次全站数据和数据库的本地备份。