I ricercatori di sicurezza stanno suonando i campanelli d'allarme - e non quelli divertenti da festa - per una vulnerabilità appena scoperta in cPanel e WebHost Manager (WHM), il software di gestione dei server web che alimenta all'incirca un gazilione di siti web (ok, decine di milioni). Il bug, ufficialmente tracciato come CVE-2026-41940, permette agli hacker di entrare indisturbati oltre la schermata di login e prendere il pieno controllo dei server colpiti, come una versione digitale di lasciare la porta di casa aperta con un cartello "roba gratis" al neon.

cPanel e WHM sono gli eroi non celebrati dell'hosting web, gestendo tutto, dalle configurazioni del sito alla gestione della posta elettronica fino alla manutenzione del database - praticamente, l'impianto idraulico digitale che impedisce ai domini internet di allagarsi. Poiché queste suite hanno accesso profondo e senza restrizioni ai server che gestiscono, un hack riuscito significa che gli aggressori possono frugare in tutti i dati come un vicino ficcanaso a un mercatino dell'usato.

Molte società di hosting web commerciali hanno già aggiornato i sistemi dei loro clienti, ma il produttore di cPanel esorta tutti a ricontrollare, perché il bug colpisce tutte le versioni supportate. Sì, tutte. L'agenzia nazionale per la cybersicurezza canadese ha aggiunto un avviso che lo sfruttamento è "altamente probabile", che in linguaggio governativo significa "smetti di scorrere e aggiorna ora".

Il gigante dell'hosting web Namecheap, che usa cPanel per i suoi clienti, ha bloccato l'accesso ai pannelli cPanel dopo aver appreso della falla - come un buttafuori che chiude il VIP lounge prima che la festa venga distrutta. Anche Hostgator ha aggiornato i suoi sistemi, definendo il bug un "exploit critico di bypass dell'autenticazione", che suona terrificante e lo è.

Una società di hosting web, KnownHost, ha trovato prove che gli hacker hanno abusato della vulnerabilità dal 23 febbraio - mesi di ospiti non invitati che si aggirano nelle ombre digitali. L'amministratore delegato Daniel Pearson è intervenuto su Reddit per condividere che circa 30 dei server di KnownHost mostravano segni di tentativi di accesso non autorizzato, anche se non sono state confermate compromissioni attive. Ha paragonato gli sforzi a tentativi, il che è rassicurante come una finestra semiaperta.

cPanel ha anche rilasciato una correzione di sicurezza per WP Squared, uno strumento simile per gestire siti WordPress, perché a quanto pare il tema di questa settimana è "aggiorna tutto". Se usi cPanel, forse verifica con il tuo host web - o semplicemente presumi che abbiano risolto e spera per il meglio.