概要
cPanelおよびWebHost Manager(WHM)に、CVSS スコア 9.8 の深刻な認証バイパス脆弱性(CVE-2026-41940)が発見された。バージョン 11.40 以降のすべてのサポート対象バージョンに影響し、未認証のリモート攻撃者がコントロールパネルへの不正アクセスを取得できる。CISAはこの脆弱性を既知悪用脆弱性(KEV)カタログに追加し、連邦民間行政機関(FCEB)に対して2026年5月3日までのパッチ適用を義務付けた。
技術的な詳細
脆弱性の根本原因は、ログインおよびセッション処理における CRLF インジェクションにある。攻撃者は whostmgrsession クッキーを細工し、本来含まれるべきセグメントを省略することでセッションファイルの暗号化を回避し、user=root などの任意のプロパティを注入できる。これにより管理者レベルのアクセス権を確立し、ホストシステム全体の制御を奪取できる。
修正済みバージョンは以下のとおり: 11.86.0.41、11.110.0.97、11.118.0.63、11.126.0.54、11.130.0.19、11.132.0.29、11.134.0.20、11.136.0.5。即時アップデートが推奨されるが、すぐにアップデートが困難な場合は以下の暫定緩和策が有効とされている。
- ファイアウォールレベルでポート 2083、2087、2095、2096 へのインバウンドトラフィックをブロック
cpsrvdおよびcpdavdサービスを停止
悪用の状況と業界の対応
開示前の約30日間にわたってゼロデイとして積極的に悪用されていた証拠が確認されており、この点が今回の脆弱性の深刻さをさらに高めている。Namecheap、KnownHost、HostPapa、InMotion などの主要ホスティングプロバイダーは、影響を受けるポートをブロックする緊急ファイアウォールルールをすでに実装済みと報告されている。cPanel を利用するサーバー管理者は直ちに公式アップデートスクリプトを実行し、自サーバーが脆弱なバージョンを実行していないか確認することが強く求められる。