يدق باحثو الأمن أجراس الإنذار - وليس أجراس الحفلات الممتعة - بسبب ثغرة مكتشفة حديثًا في cPanel وWebHost Manager (WHM)، برامج إدارة خوادم الويب التي تدير ما يقارب مليار موقع (حسنًا، عشرات الملايين). الثغرة، المسجلة رسميًا باسم CVE-2026-41940، تتيح للمخترقين تجاوز شاشة الدخول والاستيلاء الكامل على الخوادم المتأثرة، وكأنك تركت باب منزلك مفتوحًا مع لافتة نيون تقول "أشياء مجانية".
cPanel وWHM هما الأبطال الخفيون لاستضافة الويب، حيث يتوليان كل شيء من إعدادات الموقع إلى إدارة البريد الإلكتروني وصيانة قواعد البيانات - باختصار، السباكة الرقمية التي تمنع نطاقات الإنترنت من الفيضان. وبما أن هذه الحزم تمتلك وصولًا عميقًا وغير مقيد للخوادم التي تديرها، فإن الاختراق الناجح يعني أن المهاجمين يمكنهم التفتيش في جميع البيانات مثل جار فضولي في سوق للسلع المستعملة.
العديد من شركات استضافة الويب التجارية قامت بالفعل بتصحيح أنظمة عملائها، لكن الشركة المصنعة لـ cPanel تحث الجميع على التحقق مرة أخرى، لأن الثغرة تؤثر على جميع الإصدارات المدعومة. نعم، جميعها. وكالة الأمن السيبراني الكندية أصدرت تحذيرًا بأن الاستغلال "محتمل جدًا"، وهي لغة حكومية تعني "توقف عن التمرير وصحح هذا الآن".
شركة استضافة الويب العملاقة Namecheap، التي تستخدم cPanel لعملائها، قامت بحظر الوصول إلى لوحات cPanel فور علمها بالثغرة - مثل حارس يغلق صالة كبار الشخصيات قبل أن تتحول الحفلة إلى فوضى. كما قامت Hostgator بتصحيح أنظمتها، واصفة الثغرة بأنها "استغلال خطير لتجاوز المصادقة"، وهو أمر مرعب وهو كذلك بالفعل.
إحدى شركات استضافة الويب، KnownHost، وجدت أدلة على أن المخترقين كانوا يستغلون الثغرة منذ 23 فبراير - أي أشهر من الضيوف غير المدعوين يتسللون في الظلال الرقمية. الرئيس التنفيذي دانيال بيرسون شارك على Reddit أن حوالي 30 من خوادم KnownHost أظهرت علامات على محاولات وصول غير مصرح بها، رغم عدم تأكيد أي اختراق نشط. ووصف الجهود بأنها محاولات، وهو أمر مطمئن بنفس درجة نافذة نصف مفتوحة.
كما أصدرت cPanel إصلاحًا أمنيًا لـ WP Squared، وهي أداة مشابهة لإدارة مواقع WordPress، لأن موضوع هذا الأسبوع يبدو أنه "صحح كل شيء". إذا كنت تستخدم cPanel، ربما تحقق مع مضيف الويب الخاص بك - أو فقط افترض أنهم تعاملوا مع الأمر وتمنى الأفضل.