Teknologi

En login-fejl efterlod 70 millioner cPanel-hjemmesider åbne for alle

Sårbarheden blev udnyttet allerede, før cPanel kunne nå at sende rettelsen ud. Store hostingudbydere lukkede adgangen til administrationsportene, mens opdateringen blev rullet ud — resten af internettet er stadig ved at indhente det forsømte.
En login-fejl efterlod 70 millioner cPanel-hjemmesider åbne for alle
cPanel bug
Susan Hill
29. april 2026, kl. 18:32

En kritisk autentificerings-bypass-sårbarhed i cPanel og WHM lod angribere gå lige ind ad fordøren på et hvilket som helst kontrolpanel, der var eksponeret mod internettet, uden brugernavn eller adgangskode. Sårbarheden, registreret som CVE-2026-41940 med en CVSS-score på 9,8 ud af 10, rammer alle understøttede versioner af softwaren, som administrerer omkring 70 millioner domæner verden over. Sikkerhedsforskere bekræfter, at aktive exploits allerede cirkulerede, da nødrettelsen blev frigivet — for mange hostingudbydere er spørgsmålet ikke længere, om deres servere var sårbare, men om de var blevet kompromitteret, før opdateringen nåede frem.

Sårbarheden ligger i cPanels logik for indlæsning og lagring af sessioner, internt sporet som CPANEL-52908. Konkret kunne en angriber sende en fejlformet login-anmodning og modtage gyldige session-credentials til en konto, som angriberen aldrig havde autentificeret sig over for — i værste fald inklusive root-adgang til WHM, server-dashboardet, der styrer hostingkonti, mailrouting, SSL-certifikater og databasetjenester. Seks versionsgrene havde akut behov for rettelser: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 og 11.136.0.5. Servere, der stadig kører cPanel-versioner uden support, vil slet ikke modtage rettelser og bør behandles som aktivt kompromitterede.

cPanel er standardlaget af kontrolpanel for shared hosting-infrastrukturen, som bærer en stor del af forbruger-webben. En vellykket indtrængen mod en enkelt cPanel-server kan kaskadere ned til tusindvis af underliggende websteder — alle de domæner, der ligger på maskinen, samt deres mail, databaser og kundefiler. Forskningsteamet hos watchTowr Labs beskrev de berørte systemer som administrationsplanet for en betydelig del af internettet, og én udbyder, KnownHost, bekræftede, at udnyttelsen allerede var i gang, før der blev offentliggjort nogen advarsel.

Hexstrike-AI: Begyndelsen på Autonom Udnyttelse af Zero-Day Sårbarheder

Namecheap, en af de største reseller-værter på platformen, tog det usædvanlige skridt midlertidigt at blokere adgangen til portene 2083 og 2087 — webindgangene til cPanel og WHM — for alle kunder, mens rettelsen blev rullet ud. Da opdateringen nåede selskabets Reseller- og Stellar Business-flåder, havde platformen reelt været slukket udefra i flere timer. Andre store udbydere udsendte tilsvarende meldinger og anbefalede kunder at køre /scripts/upcp –force som root for at fremtvinge opdateringen i stedet for at vente på det automatiske vedligeholdelsesvindue.

Alarmen bør nuanceres. cPanel selv har ikke offentliggjort dybe tekniske detaljer om sårbarheden — størstedelen af den offentlige analyse kommer fra eksterne forskere, der reverse-engineerer rettelsen, hvilket betyder, at de præcise udnyttelsesbetingelser fortsat er delvist tilslørede. Tallet på “70 millioner domæner” er et gammelt skøn fra cPanels eget markedsføringsmateriale og omfatter shared hosting-konti, hvor én enkelt panelserver håndterer tusindvis af websteder; det reelle antal berørte unikke servere er væsentligt lavere. Og selv om udnyttelsen er bekræftet før rettelsen, er der endnu ikke offentliggjort nogen større brist tilskrevet denne CVE — det kan ændre sig i de kommende uger, efterhånden som de retstekniske undersøgelser afsluttes, eller ej.

Episoden passer ind i et mønster, sikkerhedsforskere har påpeget i årevis: administrationslaget for forbruger-hosting er et af de mest værdifulde og mindst overvågede mål på internettet. En fejl i en enkelt kontrolpanel-komponent kan på én gang give en angriber nøglerne til tusindvis af små erhvervssider og privatsider med minimalt forsvar, uden eksotiske exploit-kæder. Authentication bypass-fejl i software af cPanel-klassen handles dyrt på de skjulte markeder, og afstanden mellem offentliggørelse og fuld patch-dækning måles i uger for uadministrerede uafhængige servere — længe efter at den offentlige nyhedscyklus er gået videre.

cPanel udsendte nødrettelserne den 28. april, og Namecheap og andre store udbydere afsluttede udrulningerne i de tidlige timer den 29. april. Administratorer af cPanel- eller WHM-servere bør straks bekræfte, at de kører en af de rettede builds, og behandle enhver server, der i dagene op til rettelsen kørte en sårbar version eksponeret mod internettet, som potentielt kompromitteret. cPanel har ikke forpligtet sig til en offentlig post-incident-rapport.

Flere som denne

Oppo Find X9 Ultra får 10x optisk zoom og en aftagelig 300 mm-linse

Oppo Find X9 Ultra får 10x optisk zoom og en aftagelig 300 mm-linse

Apple godkender TinyGPU — Mac Mini klar til lokale AI-modeller

Apple godkender TinyGPU — Mac Mini klar til lokale AI-modeller

Meta tester den første betalingsversion af WhatsApp — beskederne forbliver gratis

Meta tester den første betalingsversion af WhatsApp — beskederne forbliver gratis

Den Starlink-forbundne autonome drone der gør nødopkaldsafsendelse til en algoritmisk beslutning

Den Starlink-forbundne autonome drone der gør nødopkaldsafsendelse til en algoritmisk beslutning

Roland-Garros eSeries og fremvæksten af mobil-esport i den digitale sportskultur

Roland-Garros eSeries og fremvæksten af mobil-esport i den digitale sportskultur

Europa træder ind i exaskala-æraen med supercomputeren JUPITER

Europa træder ind i exaskala-æraen med supercomputeren JUPITER

Debat

Der er 0 kommentarer.