全球数千万网站依赖的服务器管理套件,被曝存在一个可让攻击者直接绕过登录的漏洞。更糟的是,有托管商发现黑客早在2月就开始试探。

漏洞编号CVE-2026-41940,影响所有受支持版本

打开网易新闻 查看精彩图片

cPanel和WHM这两款软件在网页托管行业的普及程度,让它们成为基础设施级别的存在。它们管理着网站托管、邮件服务、域名配置和数据库——权限极深。

这次的问题出在登录环节。攻击者可以远程绕过认证界面,直接拿到管理面板的完整控制权。不是提权,不是信息泄露,是直接进门。

cPanel官方确认漏洞影响所有受支持版本,并敦促客户立即补丁。但"已补丁"和"已安全"之间,隔着全球无数独立部署的实例。

托管巨头的应急:先锁门,再修锁

Namecheap的反应很直接——发现漏洞后,先阻断客户对cPanel面板的访问,再分批打补丁。这种"先断服务保安全"的决策,说明漏洞的严重性已经超出常规。

Hostgator将其定性为"关键级认证绕过漏洞",系统已完成补丁。

两家公司的动作揭示了一个行业现实:大型托管商有能力快速响应,但它们的客户可能只是被动等待。而对于那些自建服务器、直接使用cPanel的中小团队,补丁节奏完全靠自己。

2月就已出现攻击痕迹

KnownHost首席执行官Daniel Pearson在Reddit披露,其公司早在2月23日就观测到针对该漏洞的利用尝试。

「我们数千台服务器中约有30台出现未授权访问尝试的迹象」,Pearson表示。他强调这些属于"尝试"而非"成功入侵",公司曾短暂阻断客户系统访问以完成补丁。

这个时间线很关键。漏洞公开披露与首次观测到攻击之间,存在数月的静默期。这意味着在官方补丁发布前,攻击者已经掌握并利用了这一入口。

加拿大国家网络安全机构发布警告,称漏洞"被利用的可能性极高",特别指出共享托管环境风险最大——一台服务器被攻破,可能波及数百个网站。

为什么这件事值得警惕

第一,攻击面过于庞大。cPanel/WHM的行业地位决定了这不是某个小众工具的漏洞,而是托管基础设施的系统性风险。

第二,共享托管的连锁效应。个人博客、中小企业官网、电商站点可能共用一台服务器,一个漏洞等于批量沦陷。

第三,补丁覆盖的盲区。大型托管商可以统一处置,但独立部署的实例、停更的旧版本、被遗忘的测试环境,都是潜在的敞口。

cPanel同期还为WordPress管理工具WP Squared推送了安全修复,但原文未说明是否与同一漏洞相关。

数据收束:数千万网站依赖的软件套件,2月已现攻击痕迹,30台服务器在单一托管商网络中留下被试探记录——补丁窗口期与攻击者的时间差,是这个案例最该被记住的教训。