4 月 28 日，cPanel 官方披露 CVE-2026-41940 身份验证绕过漏洞，CVSS 9.8（严重），11.40 之后全版本受影响。第二天 watchTowr Labs 就放出了完整技术分析和 PoC。漏洞一句话：CRLF 注入搭一个缺 ob 段的会话 cookie，攻击者远程绕过登录直接拿 WHM 面板完整控制权。Namecheap、HostGator、KnownHost 均确认遭利用尝试。KnownHost 原话更直白——黑客把它当零日武器化已经好几个月了。全球约 150 万台服务器受影响，就算你 …