सुरक्षा शोधकर्ता अलार्म बजा रहे हैं - और वो मज़ेदार, पार्टी वाले नहीं - cPanel और WebHost Manager (WHM) में एक नई खोजी गई कमज़ोरी के बारे में, जो लगभग अरबों वेबसाइटों (ठीक है, करोड़ों) को पावर देने वाला वेब सर्वर प्रबंधन सॉफ्टवेयर है। यह बग, जिसे आधिकारिक तौर पर CVE-2026-41940 के रूप में ट्रैक किया गया है, हैकर्स को लॉगिन स्क्रीन के पास से गुज़रने और प्रभावित सर्वरों पर पूर्ण नियंत्रण हासिल करने देता है, जैसे कि आपके सामने के दरवाज़े को खुला छोड़ देना और "मुफ़्त सामान" का नियॉन साइन लगा देना।

cPanel और WHM वेब होस्टिंग के अनसुने हीरो हैं, जो साइट कॉन्फ़िगरेशन से लेकर ईमेल प्रबंधन और डेटाबेस रखरखाव तक सब कुछ संभालते हैं - मूल रूप से, डिजिटल प्लंबिंग जो इंटरनेट डोमेन को बाढ़ से बचाती है। चूंकि ये सूट अपने प्रबंधित सर्वरों तक गहरी, अप्रतिबंधित पहुंच रखते हैं, एक सफल हैक का मतलब है कि हमलावर सभी डेटा में इस तरह से घूम सकते हैं जैसे कोई चुगलीखोर पड़ोसी गैरेज सेल में।

कई वाणिज्यिक वेब होस्टिंग कंपनियों ने पहले ही अपने ग्राहकों के सिस्टम को पैच कर दिया है, लेकिन cPanel के निर्माता सभी से दोबारा जांच करने का आग्रह कर रहे हैं, क्योंकि यह बग सभी समर्थित संस्करणों को प्रभावित करता है। हाँ, सभी को। कनाडा की राष्ट्रीय साइबर सुरक्षा एजेंसी ने एक सलाह जारी कर कहा कि शोषण "अत्यधिक संभावित" है, जो सरकारी भाषा में "स्क्रॉल करना बंद करें और इसे अभी पैच करें" है।

वेब होस्टिंग दिग्गज Namecheap, जो अपने ग्राहकों के लिए cPanel का उपयोग करता है, ने खामी के बारे में जानने पर cPanel पैनल तक पहुंच को अवरुद्ध कर दिया - जैसे पार्टी के बर्बाद होने से पहले बाउंसर वीआईपी लाउंज बंद कर दे। Hostgator ने भी अपने सिस्टम को पैच किया, और इस बग को "महत्वपूर्ण प्रमाणीकरण-बाईपास शोषण" कहा, जो डरावना लगता है और है भी।

एक वेब होस्टिंग कंपनी, KnownHost, ने सबूत पाया कि हैकर्स 23 फरवरी से इस कमज़ोरी का दुरुपयोग कर रहे हैं - यानी डिजिटल छाया में महीनों से बिन बुलाए मेहमान छिपे हुए हैं। CEO डैनियल पियर्सन ने Reddit पर साझा किया कि KnownHost के लगभग 30 सर्वरों ने अनधिकृत पहुंच के प्रयासों के संकेत दिखाए, हालांकि किसी सक्रिय समझौते की पुष्टि नहीं हुई। उन्होंने प्रयासों की तुलना प्रयासों से की, जो उसी तरह आश्वस्त करने वाला है जैसे आधा खुला खिड़की।

cPanel ने WP Squared के लिए भी एक सुरक्षा फिक्स जारी किया, जो WordPress साइटों के प्रबंधन के लिए एक समान उपकरण है, क्योंकि जाहिर तौर पर इस सप्ताह का थीम "सब कुछ पैच करें" है। यदि आप cPanel का उपयोग कर रहे हैं, तो शायद अपने वेब होस्ट से जांच लें - या बस मान लें कि उन्होंने इसे संभाल लिया है और सर्वश्रेष्ठ की उम्मीद करें।