Критическая CVE в cPanel & WHM

Событие недели от мира хостинговой инфраструктуры: в контрольной панели cPanel & WHM закрыли критическую уязвимость на обход аутентификации. Во всех версиях. И с активным эксплойтом в качестве нулевого дня с февраля.

CVE-2026-41940, 9.8 по CVSS: На официальном это “некорректная обработка сессий, где пользовательские данные записываются в файлы сессий на стороне сервера перед аутентификацией и без санитизации”. На неофициальном звучит в основном непечатное в формате “Как это попало в прод-то, вы что, совсем там ту-ту-ру?!” Юзер произвольно пишет в файлы сессий pre-auth и получает админку. И это не на школьном проекте вида “Мой первый сервер”, а на панели, на которой 70+ миллионов доменов висят.

Как можно догадаться, админы в полном восторге. Почитать разбор уязвимости в этот погожий выходной денёк можно в блоге watchTowr, а админам соболезнуем.

Ранее на неделе также раскрыли серьёзную уязвимость в ядре Linux Copy Fail.