Säkerhetsforskare slår larm – och inte de roliga, party-aktiga slagen – över en nyupptäckt sårbarhet i cPanel och WebHost Manager (WHM), programvaran för webbserverhantering som driver ungefär en miljard webbplatser (okej, tiotals miljoner). Buggen, officiellt spårad som CVE-2026-41940, låter hackare promenera rakt förbi inloggningsskärmen och ta full kontroll över drabbade servrar, som en digital version av att lämna ytterdörren olåst med en neon-skylt med texten "gratis grejer".

cPanel och WHM är de okända hjältarna inom webbhotell, och hanterar allt från webbplatskonfigurationer till e-posthantering till databasunderhåll – i princip VVS-jobbet som hindrar internetdomäner från att översvämmas. Eftersom dessa sviter har djup, obegränsad åtkomst till servrarna de hanterar, innebär en lyckad hackning att angripare kan rota igenom all data som en nyfiken granne på en loppmarknad.

Många kommersiella webbhotell har redan patchat sina kunders system, men cPanels tillverkare uppmanar alla att dubbelkolla, eftersom buggen påverkar alla versioner som stöds. Ja, alla. Kanadas nationella cybersäkerhetsmyndighet hängde på med en rekommendation om att exploatering är "högst sannolik", vilket är myndighetsspråk för "sluta scrolla och patcha nu".

Webbhotellsjätten Namecheap, som använder cPanel för sina kunder, blockerade åtkomst till cPanel-paneler när de fick reda på felet – som en dörrvakt som stänger VIP-rummet innan festen blir förstörd. Hostgator patchade också sina system och kallade buggen för en "kritisk autentiseringsförbikopplingsexploit", vilket låter skrämmande och är det.

Ett webbhotell, KnownHost, hittade bevis på att hackare har utnyttjat sårbarheten sedan den 23 februari – det är månader av objudna gäster som lurar i de digitala skuggorna. VD Daniel Pearson gick till Reddit för att berätta att cirka 30 av KnownHosts servrar visade tecken på försök till obehörig åtkomst, även om inga aktiva intrång bekräftades. Han jämförde ansträngningarna med försök, vilket är betryggande på samma sätt som ett halvöppet fönster.

cPanel släppte också en säkerhetsfix för WP Squared, ett liknande verktyg för att hantera WordPress-webbplatser, för tydligen är veckans tema "patcha allt". Om du använder cPanel, kanske kolla med ditt webbhotell – eller bara anta att de har koll på läget och hoppas på det bästa.