6月5日,cPanel官方补丁刚发布,KnownHost就确认攻击者已经用零日漏洞控制了服务器。从披露到野外利用,间隔不是天,是小时。
这是CVE-2026-41940,一个影响"所有当前支持版本"的身份验证绕过漏洞。说人话:不用密码,直接进后台。
事件现场:补丁追着攻击者跑
watchTowr Labs的研究团队对比了补丁前后版本(11.110.0.96 vs 11.110.0.97),发现问题出在"会话加载与保存"环节。攻击者能构造特定请求,让系统误认其为已登录用户。
WHM是根级管理界面,管SSL证书、安全协议、整台服务器。cPanel是用户面板,管单个网站。两者一起覆盖了超过7000万个域名。
cPanel的补丁列表长到需要滚动:
110.0.x → 118.0.x → 126.0.x → 132.0.x → 134.0.x → 136.0.x,每个版本都有对应的修复版本号。官方建议"最好昨天就升级"。
为什么共享托管成了单点故障
这个漏洞的杀伤力不在于技术复杂度,而在于部署密度。cPanel+WHM组合是共享托管行业的默认基础设施,一台物理服务器可能托管上千个网站。
攻击者拿到WHM权限,等于同时拿到这台服务器上所有网站的钥匙。不是偷数据那么简单,是可以在任意站点植入代码、签发证书、转移域名。
KnownHost确认的"野外利用"意味着:有人在官方披露前就已经知道这个漏洞,并且专门留着对付托管服务商的管理平面。
watchTowr的应对逻辑:比快更快
这家安全公司的博客风格很跳脱——"今天没有评论,想象我们写了个只有自己觉得好笑的段子"——但他们的响应机制很硬核。
披露后几小时内,他们做了两件事:一是用AI驱动扫描客户资产,定位暴露实例;二是在网络边缘部署主动防御规则,自动拦截攻击流量。
他们的卖点很明确:"当利用发生在小时级别,我们能给你别人给不了的东西——响应时间。"
补丁经济学的残酷现实
cPanel的版本碎片化是另一个隐患。从110到136,六个主要版本线同时维护,每个版本又有多个子版本。托管服务商要测试兼容性、安排维护窗口、通知客户,而攻击者只需要一个未打补丁的目标。
更麻烦的是WHM的访问特性:它通常暴露在公网,方便管理员远程管理,也方便攻击者批量扫描。没有VPN隔离、没有IP白名单的实例,在这次事件里就是活靶子。
共享托管的商业模式决定了安全投入的上限。客户付的是白菜价,服务商却要承担基础设施级的安全责任。CVE-2026-41940把这种结构性矛盾摊在了台面上。
热门跟贴