Alerte de Sécurité : Vulvnerabilité Critique CVE-2026-41940 sur cPanel – Mise à jour immédiate requise

TL;DR : Une faille critique de type "Authentication Bypass" (CVE-2026-41940), avec un score de sévérité de 9.8/10, touche actuellement les serveurs cPanel et WHM. Elle permet à un attaquant distant d'obtenir un accès root complet sans identifiants valides. Des preuves indiquent que cette vulnérabilité est exploitée activement comme "zero-day" depuis au moins 30 jours ; vous devez mettre à jour vos instances ou restreindre les ports d'administration immédiatement.

---

Comprendre la menace : Bypass d'authentification et accès Root

Le 28 avril 2026, une vulnérabilité critique a été identifiée dans le flux d'authentification de cPanel et de WebHost Manager (WHM). Identifiée sous la référence CVE-2026-41940, cette faille permet à des attaquants non authentifiés de contourner les mécanismes de sécurité habituels pour prendre le contrôle total du serveur.

Selon le NIST (National Vulnerability Database), l'exploitation réussie donne un accès administratif (root). Contrairement au piratage d'un simple site web, un compromis au niveau WHM signifie que l'attaquant peut lire tous les comptes d'hébergement, modifier les bases de données, installer des malwares et voler les identifiants de l'ensemble des clients hébergés sur la machine.

Analyse technique : L'injection CRLF (CVE-2026-41940)

D'après les analyses techniques de Rapid7 et watchTowr Labs, la vulnérabilité repose sur une injection de type CRLF (Carriage Return Line Feed) dans les processus de chargement de session de cpsrvd (le daemon de service cPanel).

Voici comment l'attaque fonctionne techniquement :

1. Manipulation de cookie : Un attaquant manipule le cookie whostmgrsession en omettant délibérément certains segments. Cela permet d'éviter le processus de chiffrement normalement appliqué aux valeurs fournies par l'utilisateur.
2. Injection de caractères : En utilisant une en-tête d'autorisation malveillante, l'attaquant injecte des caractères bruts \r\n (CRLF).
3. Écriture de session : Le système écrit le fichier de session sur le disque sans nettoyer les données. L'attaquant peut ainsi insérer des propriétés arbitraires, comme user=root, directement dans son fichier de session.
4. Escalade : Lors du rechargement de la session, le système accorde à l'attaquant un accès de niveau administrateur.

État de l'exploitation : Un Zero-Day en liberté

La situation est particulièrement alarmante car la faille semble avoir été exploitée avant même la sortie du correctif officiel. Daniel Pearson, PDG de l'hébergeur KnownHost, a affirmé que cette vulnérabilité est utilisée "dans la nature" depuis au moins 30 jours.

Benjamin Harris, PDG de watchTowr, souligne l'ampleur du problème en notant que des hébergeurs majeurs tels que Namecheap, HostPapa et InMotion Hosting ont dû "tirer le frein d'urgence" en bloquant l'accès à leurs propres interfaces d'administration pour protéger leurs clients en temps réel.

Comment protéger votre infrastructure au Maroc ?

Si vous gérez des serveurs cPanel/WHM pour des clients locaux ou internationaux, vous devez agir sur-le-champ. Eye Security estime à plus de 2 millions le nombre d'instances cPanel connectées à Internet mondialement.

1. Appliquer les mises à jour

cPanel a publié des correctifs pour toutes les versions supportées. Vérifiez que vous utilisez l'une des versions suivantes (ou une version ultérieure) :

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20
• Note pour les utilisateurs de WP Squared : Mettez à jour vers la version 136.1.7.

Vous pouvez forcer la mise à jour via SSH avec la commande suivante :

/scripts/upcp --force

2. Mesures de restriction immédiates (Mitigation)

Si vous ne pouvez pas mettre à jour immédiatement, appliquez ces restrictions réseau :

• Pare-feu (Firewall) : Bloquez le trafic entrant sur les ports TCP 2083, 2087, 2095, et 2096.
• Services : Arrêtez temporairement les services cpsrvd et cpdavd.

3. Détection de compromission

cPanel a mis à disposition un script de détection pour rechercher des indicateurs de compromission (IoCs). Soyez attentifs aux signes suivants dans vos logs de session :

• Sessions possédant à la fois token_denied et cp_security_token.
• Sessions pré-authentifiées avec des attributs authentifiés.
• Champ "Password" contenant des retours à la ligne (newlines).
• Sessions marquées tfa_verified (2FA vérifié) mais sans origine valide.

Conclusion

La CVE-2026-41940 représente un risque systémique pour les hébergeurs. La facilité d'exploitation via une simple injection CRLF et la disponibilité de l'accès root en font l'une des failles les plus critiques de ces dernières années pour l'écosystème web. Pour les administrateurs systèmes marocains, la priorité absolue est de s'assurer que l'auto-update a bien fonctionné ou d'intervenir manuellement avant que des acteurs malveillants n'automatisent l'exploitation de masse sur les serveurs non patchés.

Source : The Hacker News - Critical cPanel Authentication Vulnerability Identified