Badacze bezpieczeństwa biją na alarm – i to nie ten wesoły, imprezowy – z powodu świeżo odkrytej podatności w cPanel i WebHost Manager (WHM), oprogramowaniu do zarządzania serwerami internetowymi, które napędza jakieś miliardy stron (okej, dziesiątki milionów). Błąd, oficjalnie oznaczony jako CVE-2026-41940, pozwala hakerom przejść obok ekranu logowania i przejąć pełną kontrolę nad zaatakowanymi serwerami, jak cyfrowa wersja zostawienia otwartych drzwi z neonowym napisem „darmowe rzeczy”.
cPanel i WHM to nieopiewani bohaterowie hostingu internetowego, zajmujący się wszystkim – od konfiguracji stron, przez zarządzanie e-mailami, po utrzymanie baz danych – czyli cyfrowa hydraulika, która zapobiega zalaniu domen. Ponieważ te zestawy mają głęboki, nieograniczony dostęp do zarządzanych serwerów, udany atak oznacza, że napastnicy mogą grzebać we wszystkich danych jak wścibski sąsiad na wyprzedaży garażowej.
Wiele komercyjnych firm hostingowych już załatało systemy swoich klientów, ale twórca cPanel nalega, aby wszyscy sprawdzili to dwukrotnie, ponieważ błąd dotyczy wszystkich obsługiwanych wersji. Tak, wszystkich. Kanadyjska krajowa agencja cyberbezpieczeństwa dorzuciła swoje ostrzeżenie, że wykorzystanie jest „wysoce prawdopodobne”, co w języku urzędowym oznacza „przestań scrollować i załatuj to teraz”.
Gigant hostingowy Namecheap, który używa cPanel dla swoich klientów, zablokował dostęp do paneli cPanel po dowiedzeniu się o błędzie – jak bramkarz zamykający VIP lounge przed zdemolowaniem imprezy. Hostgator również załatał swoje systemy, nazywając błąd „krytycznym exploitiem omijającym uwierzytelnianie”, co brzmi przerażająco i takie jest.
Jedna firma hostingowa, KnownHost, znalazła dowody na to, że hakerzy wykorzystują podatność od 23 lutego – to miesiące nieproszonych gości czających się w cyfrowym cieniu. CEO Daniel Pearson podzielił się na Reddicie informacją, że około 30 serwerów KnownHost wykazało oznaki prób nieautoryzowanego dostępu, choć nie potwierdzono aktywnych naruszeń. Porównał te wysiłki do prób, co jest pocieszające w ten sam sposób, co uchylone okno.
cPanel wydał również poprawkę bezpieczeństwa dla WP Squared, podobnego narzędzia do zarządzania stronami WordPress, bo najwyraźniej tematem tygodnia jest „załataj wszystko”. Jeśli używasz cPanel, może sprawdź u swojego hosta – albo po prostu załóż, że mają to pod kontrolą i licz na najlepsze.