راد بالكم: ثغرة خطيرة CVE-2026-41940 فـ cPanel – خاص الميز أجور دابا!

المفيد (TL;DR): كاين واحد الديفو كبير بزاف من نوع "Authentication Bypass" (بمعدل خطورة 9.8/10) ضارب السيرفرات ديال cPanel و WHM. هاد الثغرة كتعطي لأي هكر يسكن فالسيرفر ديالك ويوصل لانديكس root بلا ما يحتاج لا كود لا والو. المصيبة هي أن هاد الثغرة مستغلة دابا نيت كـ "zero-day" هادي كتر من شهر؛ يعني خاصك دير Mise à jour للسيرفرات ديالك ولا تسد بورتات الإدارة دابا قبل فوات الأوان.

---

شنو واقع؟ تجاوز الحماية ووصول كامل للـ Root

نهار 28 أبريل 2026، تكتشفات ثغرة كارثية فالسيسطيم ديال الدخول (Authentication) فـ cPanel و WebHost Manager (WHM). هاد المشكل لي معطيه الرمز CVE-2026-41940 كايخلي أي واحد مخبي ورا لبيسي ديالو يدخل للسيرفر ويتحكم فيه كامل بلا ما يكون عندو حساب.

على حساب ويدزارت NIST، لى شي حد استغل هاد الثغرة، كاياخد صلاحيات الإدارة الكاملة (Root). وهادشي راه ماشي بحال إلا تبيراطا لك سيت واحد، هادي راه إلا طاح WHM، الهكر يقدر يشوف كاع لي كليون لي عندك، يبدل لي باز دو دوني (Databases)، يزرع Malware، ويشفر ولا يسرق كاع الداتا ديال الناس لي مخلصين عندك الهوستينغ.

التحليل التقني: قصة الـ CRLF Injection

الباحثين من Rapid7 و watchTowr Labs لقاو بلي الثغرة مبنية على واحد التكنيك سميتو CRLF Injection (Carriage Return Line Feed) فوسط الخدمة ديال cpsrvd لي مسؤولة على لي سيسيون (Sessions) فـ cPanel.

ها كيفاش كتتم العملية تقنياً:

1. التلاعب بـ Cookie: الهكر كايتلاعب بالكوكي whostmgrsession وكايمسح منو شي طراف باش يدوخ السيسطيم ويخليه ما يشفرش الداتا لي كايصيفط المستخدم.
2. Injecting Characters: كايستعمل واحد Header ديال Authorization باش يزرق حروف ديال السطر الجديد \r\n (CRLF).
3. تزوير السيسيون: السيسطيم كايقيد هاد المعلومات فواحد الفيشي فالديكس بلا ما ينقيهم. هنا الهكر كايقدر يدخل وسط الفيشي بلي راه هو user=root.
4. السيطرة: فاش كايتشارژا السيسيون مرة خرى، cPanel كايسحاب ليه بلي الشخص لي داخل راه هو الادمين وكايعطيه السوارت ديال السيرفر.

الواقع: الثغرة خدامة هادي 30 يوم

لي كيخلع فهاد الثغرة هي أنها تكتشفات كـ "Zero-Day"، يعني الهكرز بداو كيخدمو بيها قبل ما يخرج التصحيح (Patch). دانيال بيرسون، لي هو المدير ديال KnownHost، أكد بلي هاد الثغرة مستغلة فالواقع هادي كتر من شهر.

حتى بنجامين هاريس من watchTowr قال بلي لافور كاينين شركات كبار بحال Namecheap و HostPapa و InMotion Hosting اضطروا يحبسو كولشي ويقطعو لكسي للإدارة ديالهم باش يحميو الكليان ديالهم فديك الساعات.

كيفاش تحمي السيرفرات ديالك فالمغرب؟

إلا كنتي کاتسير سيرفرات cPanel/WHM لراسك ولا للي كليون ديالك، خاصك تحرك دابا. الدراسات كاتبين بلي كاين كتر من 2 مليون سيرفر cPanel مكونكتي فلانترنيت فالعالم كامل لي يقدر يكون ضحية.

1. دير الميز أجور (Apply Updates)

cPanel خرجات باتشات كاع ليفيرسيون لي مدعومين. تأكد بلي السيرفر ديالك فيه هاد ليفيرسيون ولا شي وحدة كتر منها:

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20
• بالنسبة للناس ديال WP Squared: دوزو للفرسيون 136.1.7.

تقدر تفرصي الميز أجور بـ SSH باستعمال هاد الكوماند:

/scripts/upcp --force

2. إجراءات مستعجلة (Mitigation)

إلا ما قدرتيش دير الميز أجور دابا لشي سبب، دير هادشي فـ Firewall ديالك:

• Pare-feu : بلوكي كاع الترافيك لي داخل فالبورتات 2083, 2087, 2095, و 2096.
• Services : وقف مؤقتاً الخدمات ديال cpsrvd و cpdavd.

3. واش تسكنيتي؟ (Detection)

cPanel خرجات واحد السكريبت باش تعرف واش شي حد دخل للسيرفر بهاد الثغرة. رد البال لهاد العلامات (IoCs) فلي لوك (Logs) ديال السيسيون:

• سيسيونات فيهم token_denied و cp_security_token فدقة وحدة.
• سيسيونات داخلين كأدمن بلا ما يدوزو من المرحلة العادية ديال الدخول.
• البلاصة ديال "Password" فيها سطور جداد (newlines).
• سيسيونات محطوط فيهم بلي راه دازو من 2FA (تأكد ثنائي) ولكن المصدر ديالهم ما باينش.

خلاصة

الثغرة CVE-2026-41940 هي خطر حقيقي على أي واحد عندو هوستينغ. السهولة باش كيتم الاستغلال ديالها غير بـ CRLF Injection والنتيجة لي كتعطي (Root Access) كاتخليها من أخطر المشاكل لي دازو هاد السنين الأخيرة. بالنسبة للناس لي مقابلين السيرفرات فالمغرب، المهمة رقم 1 دابا هي تأكد بلي السيرفر دار الميز أجور لراسو، ولا ديرها بيدك قبل ما يجيو "الروبوتات" ديال الهكرز يشفروا لك السيرفر.

المصدر: The Hacker News - Critical cPanel Authentication Vulnerability Identified