Quando cPanel ha pubblicato il suo bollettino di sicurezza il 28 aprile, gli attacchi erano già in corso da almeno due mesi. Lo conferma il CEO di KnownHost, un provider di hosting gestito, che ha trovato nei propri log i primi tentativi di sfruttamento risalenti al 23 febbraio. La vulnerabilità, ora tracciata come CVE-2026-41940 con un punteggio di gravità di 9,8 su 10, riguarda tutte le versioni supportate di cPanel e WHM, il pannello di controllo usato per gestire decine di milioni di siti web.

Come funzionava

Il meccanismo era semplice nella sua struttura, e per questo particolarmente insidioso. cPanel, prima ancora di verificare le credenziali di accesso, scrive su disco un file di sessione per ogni tentativo di login. La falla stava proprio lì: manipolando un cookie di sessione con una sequenza di caratteri speciali, era possibile iniettare nel file di sessione una proprietà arbitraria, come user=root. Al successivo caricamento della sessione, il sistema trovava già una marcatura di autenticazione avvenuta con successo, saltava il controllo della password e concedeva accesso completo come amministratore. Nessuna credenziale necessaria.

// affiliato ▸ AdGuard · Il blocco pubblicità più completo · Scarica gratis →

Con circa 1,5 milioni di istanze di cPanel esposte su internet, il raggio d’azione potenziale è enorme. Non solo il sito del titolare del server: in un ambiente di hosting condiviso, un singolo server compromesso può trascinare con sé centinaia di siti di clienti diversi.

Cosa fare adesso

Se usi un hosting condiviso, hai poca possibilità di scoprire la versione di cPanel installata. La cosa più pratica è cercare comunicazioni del tuo provider sull’aggiornamento, oppure contattare il supporto chiedendo esplicitamente se CVE-2026-41940 è stato applicato. Provider come Namecheap e Hostgator hanno già dichiarato pubblicamente di aver aggiornato i propri sistemi.

Se gestisci un VPS o un server dedicato con cPanel, il controllo è immediato: la versione corrente appare in alto nel pannello WHM. Le versioni corrette rilasciate il 28 aprile sono: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 e 11.136.0.5. Per aggiornare via riga di comando basta eseguire /scripts/upcp --force. Chi usa WP Squared, il pannello per hosting WordPress basato su cPanel, deve portarsi alla versione 136.1.7.

Come misura temporanea in attesa dell’aggiornamento, bloccare il traffico in entrata sulle porte 2083, 2087, 2095 e 2096 riduce l’esposizione. cPanel ha rilasciato anche uno script di rilevamento per chi vuole verificare se i propri file di sessione mostrano già tracce di accessi non autorizzati.

La CISA americana ha aggiunto CVE-2026-41940 alla propria lista di vulnerabilità attivamente sfruttate, imponendo agli enti federali statunitensi di applicare la patch entro il 3 maggio.