/https://www.ilsoftware.it/app/uploads/2024/01/archivebox-salva-copia-pagine-siti-web.jpg "cPanel, bypass critico dell’autenticazione: siti Web a rischio")
Un difetto critico nella gestione delle sessioni di cPanel & WHM ha riportato l’attenzione sulla fragilità delle interfacce di amministrazione esposte su Internet.
La vulnerabilità, identificata come CVE-2026-41940 e resa pubblica a fine aprile 2026, colpisce una piattaforma che gestisce milioni di server e decine di milioni di domini in tutto il mondo. Le prime evidenze raccolte da ricercatori e provider indicano sfruttamenti attivi già da febbraio 2026, settimane prima della disclosure ufficiale.
Come funziona l’attacco
Il problema nasce da un errore nella logica di gestione delle sessioni all’interno del demone cpsrvd, componente centrale del pannello. In condizioni normali, il sistema crea e valida una sessione solo dopo il completamento dell’autenticazione. In questo caso, invece, il file di sessione viene scritto su disco prima che il processo sia concluso.
La vulnerabilità sfrutta una combinazione di CRLF injection e manipolazione del cookie whostmgrsession. Un attaccante può inviare intestazioni HTTP costruite ad hoc con sequenze di ritorno a capo e newline, inducendo il sistema a salvare dati non sanitizzati nel file di sessione.
Diventa così possibile inserire attributi arbitrari come user=root, che il sistema interpreterà come legittimi al ricaricamento della sessione. Il risultato è un bypass completo dell’autenticazione con accesso diretto ai privilegi amministrativi, senza necessità di credenziali valide.
Il punteggio CVSS 9.8 riflette la portata del rischio: una singola compromissione consente il controllo totale su configurazioni, database e siti ospitati. In ambienti di hosting condiviso, un solo server vulnerabile può esporre centinaia o migliaia di domini.
Versioni coinvolte e correttivi disponibili
Il difetto interessa praticamente tutte le versioni supportate di cPanel & WHM. Le versioni corrette includono la 11.110.0.97, la 11.118.0.63, la 11.126.0.54 e le release successive.
Le stime indicano oltre 1,5 milioni di istanze cPanel esposte pubblicamente, molte delle quali potenzialmente vulnerabili al momento della disclosure. I sistemi con aggiornamenti automatici disabilitati o versioni bloccate restano a rischio anche dopo il rilascio delle patch e richiedono interventi manuali immediati.
La pubblicazione dell’analisi tecnica e del codice di exploit da parte di watchTowr ha ulteriormente ridotto il tempo utile per la remediation: quando i dettagli tecnici diventano pubblici, la finestra tra disclosure e sfruttamento massivo si misura in ore.
Cosa fare adesso
L’aggiornamento è la misura prioritaria. Nei casi in cui non sia immediatamente applicabile, si raccomanda il blocco delle porte di accesso al pannello, restrizioni firewall e la disattivazione temporanea dei servizi cpsrvd e correlati.
La verifica dei file di sessione in /var/cpanel/sessions è essenziale per individuare indicatori di compromissione: attributi di autenticazione presenti prima del login o valori anomali nelle variabili di sessione sono segnali da trattare come incidente attivo. In presenza di anomalie è necessario procedere con reset delle credenziali, revisione completa dei log e controllo di eventuali persistenze.
CVE-2026-41940 non è una vulnerabilità crittograficamente sofisticata: è un errore di sequenza logica, mal posizionato nel flusso di autenticazione. Questo tipo di difetti è tra i più insidiosi perché sfugge ai controlli tradizionali e rappresenta, per l’infrastruttura hosting globale, un rischio sistemico concreto.
/https://www.ilsoftware.it/app/uploads/2026/04/vulnerabilita-windows-lnk-sottrazione-credenziali-ntlm.jpg "Windows sotto attacco 0-click: la falla che aggira SmartScreen")
/https://www.ilsoftware.it/app/uploads/2023/08/hacker-malware-5.jpg "Microsoft corregge falla Entra ID: rischio takeover per gli account")
/https://www.ilsoftware.it/app/uploads/2026/04/copy-fail-vulnerabilita-linux-accesso-root.jpg "Linux vulnerabile da anni: exploit Copy Fail dà accesso root in pochi secondi")
/https://www.ilsoftware.it/app/uploads/2026/04/phantomrpc-come-funziona-vulnerabilita-windows.jpg "Questa vulnerabilità sottovalutata in Windows può dare accesso totale al sistema: PhantomRPC")