Pesquisadores de segurança estão tocando o alarme - e não o tipo divertido de festa - sobre uma vulnerabilidade recém-descoberta no cPanel e no WebHost Manager (WHM), o software de gerenciamento de servidores web que alimenta aproximadamente um gazilhão de sites (ok, dezenas de milhões). O bug, oficialmente rastreado como CVE-2026-41940, permite que hackers entrem direto pela tela de login e assumam o controle total dos servidores afetados, como uma versão digital de deixar a porta da frente destrancada com uma placa neon de "coisas grátis".

cPanel e WHM são os heróis anônimos da hospedagem web, lidando com tudo, desde configurações de sites até gerenciamento de e-mail e manutenção de bancos de dados - basicamente, o encanamento digital que impede que os domínios da internet inundem. Como esses conjuntos têm acesso profundo e irrestrito aos servidores que gerenciam, um hack bem-sucedido significa que os invasores podem vasculhar todos os dados como um vizinho intrometido em um bazar de garagem.

Muitas empresas de hospedagem web comerciais já corrigiram os sistemas de seus clientes, mas o fabricante do cPanel está pedindo a todos que verifiquem novamente, porque o bug afeta todas as versões suportadas. Sim, todas elas. A agência nacional de segurança cibernética do Canadá emitiu um aviso de que a exploração é "altamente provável", o que em linguagem governamental significa "pare de rolar e corrija isso agora".

A gigante de hospedagem web Namecheap, que usa cPanel para seus clientes, bloqueou o acesso aos painéis do cPanel ao saber da falha - como um segurança fechando o lounge VIP antes que a festa seja destruída. A Hostgator também corrigiu seus sistemas, chamando o bug de "exploit crítico de bypass de autenticação", o que parece aterrorizante e é.

Uma empresa de hospedagem web, KnownHost, encontrou evidências de que hackers estão abusando da vulnerabilidade desde 23 de fevereiro - meses de convidados indesejados à espreita nas sombras digitais. O CEO Daniel Pearson recorreu ao Reddit para compartilhar que cerca de 30 servidores da KnownHost mostraram sinais de tentativas de acesso não autorizado, embora nenhum comprometimento ativo tenha sido confirmado. Ele comparou os esforços a tentativas, o que é reconfortante da mesma forma que uma janela entreaberta.

O cPanel também lançou uma correção de segurança para o WP Squared, uma ferramenta semelhante para gerenciar sites WordPress, porque aparentemente o tema desta semana é "corrija tudo". Se você está usando cPanel, talvez verifique com seu provedor de hospedagem - ou apenas assuma que eles já resolveram e torça pelo melhor.