Хакеры эксплуатируют критическую уязвимость в cPanel: под угрозой миллионы сайтов

В популярном программном обеспечении для управления веб-серверами cPanel и WebHost Manager (WHM) выявлена критическая уязвимость, которую злоумышленники уже активно используют. Баг зарегистрирован под идентификатором CVE-2026-41940 и затрагивает все актуальные версии продукта. Под угрозой — десятки миллионов сайтов по всему миру, включая ресурсы на крупных хостинг-платформах.

cPanel и WHM — это два взаимосвязанных программных пакета, которые используются для администрирования веб-серверов: управления сайтами, почтой, базами данных и конфигурациями доменов. Оба продукта имеют глубокий системный доступ к серверной инфраструктуре, что делает уязвимость в них особенно опасной.

Что именно происходит и насколько это серьёзно

Уязвимость позволяет злоумышленнику удалённо обойти экран авторизации и получить полный доступ к административной панели без каких-либо учётных данных. Иными словами, атакующему не нужно знать логин и пароль — достаточно отправить специально сформированный запрос к уязвимому серверу.

Канадское национальное агентство по кибербезопасности выпустило официальный бюллетень, в котором прямо указало: «вероятность эксплуатации крайне высока», а немедленные действия со стороны клиентов cPanel или их хостинг-провайдеров необходимы для предотвращения несанкционированного доступа. Агентство особо отметило риск для сайтов на серверах с общим хостингом — когда на одном физическом сервере размещены сотни или тысячи клиентских аккаунтов.

Компания KnownHost сообщила, что зафиксировала попытки эксплуатации уязвимости ещё 23 февраля 2026 года — то есть атаки велись как минимум несколько месяцев до публичного раскрытия проблемы. Генеральный директор KnownHost Дэниел Пирсон написал об этом в Reddit: по его данным, следы несанкционированных попыток доступа обнаружены примерно на 30 серверах из тысяч машин в инфраструктуре компании. При этом Пирсон уточнил, что речь идёт именно о попытках, а не о подтверждённых взломах.

Как реагируют хостинг-провайдеры

Крупные игроки рынка уже предприняли экстренные меры. Namecheap — один из крупнейших мировых хостинг-провайдеров, использующих cPanel, — временно заблокировал клиентский доступ к панелям управления сразу после получения информации об уязвимости, чтобы выиграть время на установку патчей. HostGator также сообщил о закрытии бреши и квалифицировал её как «критический эксплойт обхода аутентификации».

Сам производитель cPanel выпустил обновление безопасности для всех поддерживаемых версий и настоятельно рекомендует клиентам убедиться, что патч установлен. Дополнительно компания закрыла аналогичную уязвимость в WP Squared — инструменте для управления сайтами на WordPress.

Для тех, кто пользуется услугами крупных хостинг-провайдеров, ситуация, скорее всего, уже разрешена — большинство из них обновили системы в автоматическом режиме. Реальный риск сохраняется у тех, кто самостоятельно администрирует серверы с cPanel или WHM и не следит за обновлениями вручную.

Что это значит для белорусского рынка

Для белорусских IT-компаний и предпринимателей, которые держат сайты или клиентские проекты на зарубежном хостинге с cPanel, первый шаг очевиден: уточнить у провайдера статус патча и при необходимости обновить панель самостоятельно через официальный канал cPanel.

Резиденты Парка высоких технологий и компании, работающие с зарубежными клиентами, нередко используют именно cPanel-хостинг для размещения демо-стендов, корпоративных сайтов или клиентских проектов. Если сервер управляется самостоятельно — проверить версию cPanel и наличие обновления стоит прямо сейчас.

Более широкий урок этой истории — в скорости реакции. Уязвимость эксплуатировалась минимум два месяца до публичного раскрытия. Это означает, что даже при своевременной установке патча часть данных могла быть скомпрометирована раньше. Аудит серверных логов за период с конца февраля по апрель 2026 года — разумная мера предосторожности для всех, кто использует затронутое ПО.

— По материалам TechCrunch: оригинальная статья. Перевод и адаптация — редакция Digital Business by.