Teknik

Ett inloggningsfel lämnade 70 miljoner cPanel-webbplatser öppna för vem som helst

Sårbarheten utnyttjades redan innan cPanel hann skicka ut patchen. Stora värdtjänster bröt åtkomsten till administrationsportarna medan uppdateringen rullades ut — resten av internet håller fortfarande på att komma ifatt.
Ett inloggningsfel lämnade 70 miljoner cPanel-webbplatser öppna för vem som helst
cPanel bug
Susan Hill
29 april 2026 konsdag. 18.32

En kritisk autentiseringsförbigående sårbarhet i cPanel och WHM lät angripare gå rakt in genom dörren till vilken kontrollpanel som helst som var åtkomlig från internet, utan användarnamn eller lösenord. Sårbarheten, registrerad som CVE-2026-41940 med ett CVSS-poäng på 9,8 av 10, drabbar alla versioner av mjukvaran som fortfarande har stöd, vilken hanterar ungefär 70 miljoner domäner globalt. Säkerhetsforskare bekräftar att aktiva exploits redan cirkulerade när nödpatchen släpptes — för många värdtjänster är frågan inte längre om deras servrar var sårbara, utan om de blev komprometterade innan uppdateringen kunde rullas ut.

Sårbarheten ligger i cPanels logik för in- och utlevering av sessioner, internt spårad som CPANEL-52908. I praktiska termer kunde en angripare skicka en felaktigt utformad inloggningsförfrågan och få giltiga session-credentials till ett konto som angriparen aldrig hade autentiserat sig mot — i värsta fall inklusive root-åtkomst till WHM, serversidans dashboard som styr värdtjänstkonton, mejlroutning, SSL-certifikat och databastjänster. Sex versionsgrenar behövde brådskande patch: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 och 11.136.0.5. Servrar som fortfarande kör cPanel-versioner utan support kommer inte att få någon patch alls och bör behandlas som aktivt komprometterade.

cPanel är standardlagret för kontrollpanel i den shared hosting-infrastruktur som bär stora delar av konsumentwebben. Ett lyckat intrång mot en enda cPanel-server kan kaskada ner till tusentals underliggande webbplatser — varje domän som ligger på maskinen, plus deras mejl, databaser och kundfiler. Forskningsteamet på watchTowr Labs beskrev de drabbade systemen som hanteringsplanet för en betydande del av internet, och en värdtjänst, KnownHost, bekräftade att exploateringen redan pågick innan någon offentlig varning hade publicerats.

Meta testar WhatsApps första betalnivå — meddelandena förblir gratis

Namecheap, en av de största återförsäljarna på plattformen, tog det ovanliga steget att tillfälligt blockera åtkomsten till portarna 2083 och 2087 — webbingångarna till cPanel och WHM — för alla kunder medan patchen rullades ut. När uppdateringen nådde företagets Reseller- och Stellar Business-flottor hade plattformen varit nedsläckt utåt sett under flera timmar. Andra stora leverantörer publicerade liknande råd och rekommenderade kunder att köra /scripts/upcp –force som root för att tvinga fram uppdateringen istället för att vänta på det automatiska underhållsfönstret.

Larmet bör nyanseras. cPanel själva har inte publicerat djupa tekniska detaljer om sårbarheten — det mesta av den offentliga analysen kommer från externa forskare som har gjort reverse engineering av patchen, vilket gör att de exakta exploaterings-villkoren förblir delvis dolda. Siffran ”70 miljoner domäner” är en mångårig uppskattning från cPanels eget marknadsföringsmaterial och inkluderar shared hosting-konton där en enda panelserver hanterar tusentals webbplatser; antalet faktiskt drabbade unika servrar är betydligt lägre. Och även om exploateringen är bekräftad före patchen har inget större offentligt intrång hittills knutits till denna CVE — det kan ändras under de kommande veckorna när forensiska utredningar avslutas, eller inte ändras alls.

Episoden passar in i ett mönster som säkerhetsforskare har varnat för i åratal: hanteringslagret för konsumentvärdtjänst är ett av de mest värdefulla och minst granskade målen på internet. Ett fel i en enda kontrollpanel-komponent kan samtidigt ge en angripare nycklarna till tusentals små företagsplatser och privatsidor med svagt försvar, utan exotiska exploit-kedjor. Authentication bypass-buggar i mjukvara av cPanel-klass handlas dyrt på den svarta marknaden, och avståndet mellan offentliggörande och full patchtäckning mäts i veckor för ohanterade fristående servrar — långt efter att den offentliga nyhetscykeln har gått vidare.

cPanel släppte nödpatcherna den 28 april, och Namecheap och andra stora leverantörer slutförde sina utrullningar de tidiga timmarna den 29 april. Administratörer för cPanel- eller WHM-servrar bör omedelbart bekräfta att de kör en av de patchade builderna och behandla som potentiellt komprometterad varje server som körde en sårbar version exponerad mot internet under dagarna före patchen. cPanel har inte åtagit sig att publicera någon offentlig efter-analys.

Mer som detta

GPT-5.5 har just landat på AWS och avslutar Microsofts sjuåriga grepp om OpenAI

GPT-5.5 har just landat på AWS och avslutar Microsofts sjuåriga grepp om OpenAI

ICARUS: Console Edition utannonserat för PlayStation 5 och Xbox Series-konsoler

ICARUS: Console Edition utannonserat för PlayStation 5 och Xbox Series-konsoler

Roland-Garros eSeries och mobil-esportens framväxt i den digitala sportkulturen

Roland-Garros eSeries och mobil-esportens framväxt i den digitala sportkulturen

Pixel Maniacs och PM Studios utannonserar det färgbaserade pusselspelet ChromaGun 2: Dye Hard

Pixel Maniacs och PM Studios utannonserar det färgbaserade pusselspelet ChromaGun 2: Dye Hard

DJI Osmo Pocket 4 lanseras globalt — men amerikanska köpare är utestängda

DJI Osmo Pocket 4 lanseras globalt — men amerikanska köpare är utestängda

Den Starlink-anslutna autonoma drönaren som gör nödsamtalshantering till ett algoritmiskt beslut

Den Starlink-anslutna autonoma drönaren som gör nödsamtalshantering till ett algoritmiskt beslut

Diskussion

Det finns 0 kommentarer.