セキュリティ研究者が警鐘を鳴らしている――しかも楽しいパーティー用の鐘じゃない――cPanelとWebHost Manager(WHM)の新たに発見された脆弱性について。このソフトウェアは、およそ数えきれないほどのウェブサイト(まあ、数千万サイト)を動かしているウェブサーバー管理ソフトだ。バグは正式にCVE-2026-41940として追跡されており、ハッカーがログイン画面をすり抜けて影響を受けるサーバーの完全な制御を奪うことを可能にする。まるで、玄関の鍵をかけずに「無料品あります」とネオンサインを出しておくデジタル版だ。
cPanelとWHMはウェブホスティングの縁の下の力持ちで、サイト設定からメール管理、データベースのメンテナンスまで、すべてを処理する――要するに、インターネットドメインが洪水を起こさないようにするデジタル配管だ。これらのスイートは管理するサーバーへの深く無制限のアクセス権を持つため、ハッキングが成功すると、攻撃者はまるでガレージセールでおせっかいな隣人のように、すべてのデータを漁ることができる。
多くの商用ウェブホスティング企業はすでに顧客のシステムにパッチを当てているが、cPanelのメーカーは全員に再確認を促している。なぜなら、このバグはサポートされているすべてのバージョンに影響するからだ。そう、すべてのバージョンだ。カナダの国家サイバーセキュリティ機関は、悪用の可能性が「非常に高い」と勧告を出した。これは政府用語で「スクロールをやめて今すぐパッチを当てろ」という意味だ。
ウェブホスティング大手のNamecheapは、顧客にcPanelを使用しており、この欠陥を知ってcPanelパネルへのアクセスをブロックした――まるでパーティーがめちゃくちゃになる前にVIPラウンジを閉鎖する用心棒のように。Hostgatorもシステムにパッチを当て、このバグを「重大な認証バイパス脆弱性」と呼んだ。恐ろしい響きで、実際恐ろしい。
あるウェブホスティング企業、KnownHostは、ハッカーが2月23日からこの脆弱性を悪用していた証拠を発見した――つまり、何ヶ月も招かれざる客がデジタルの影に潜んでいたのだ。CEOのDaniel PearsonはRedditに投稿し、KnownHostの約30台のサーバーが不正アクセスの試みの兆候を示したが、積極的な侵害は確認されていないと述べた。彼はその努力を「試み」に例えたが、それは半開きの窓と同じくらい安心できるものだ。
cPanelはまた、WordPressサイトを管理するための同様のツールであるWP Squaredのセキュリティ修正もリリースした。どうやら今週のテーマは「すべてにパッチを当てろ」らしい。cPanelを使用しているなら、ウェブホストに確認してみよう――あるいは、彼らが対処済みだと信じて、最善を願うだけでもいい。