Tóm tắt
Ngày 28/04/2026, cPanel phát hành patch khẩn cho lỗ hổng CVE-2026-41940 (CVSS 9.8). Cho phép attacker không cần đăng nhập chiếm root cPanel/WHM từ xa. CISA đã thêm vào KEV.
- CVE: CVE-2026-41940
- CVSS: 9.8 Critical
- Loại: Auth Bypass qua CRLF Injection
- Sản phẩm: cPanel & WHM, WP2
- Zero-day từ: 23/02/2026
- Ảnh hưởng: ~1.5 triệu server cPanel
Cơ chế
cPanel ghi dữ liệu từ Authorization header vào session file trước khi xác thực, không sanitize CRLF. Attacker inject CRLF ghi đè trường authenticated. 2 request HTTP là chiếm được WHM root.
Phiên bản đã patch
- 11.126.0.x+ (CURRENT)
- 11.124.0.x (RELEASE)
- 11.122.0.x (STABLE)
- 11.118.0.34+ (LTS)
Patch ngay
/scripts/upcp --force
/scripts/restartsrv_cpsrvdHardening
- Hạn chế port 2087/2083 qua firewall.
- Bật 2FA cho WHM/reseller.
- Đổi password root nếu nghi bị xâm nhập từ 23/02 đến 28/04/2026.
TND.vn
Toàn bộ server cPanel TND.vn đã patch ngay 28/04/2026. Monitoring rà soát log – không phát hiện dấu hiệu khai thác. Khách VPS unmanaged chạy /scripts/upcp --force ngay.
Nguồn: NVD, cPanel Advisory.
