安全研究人员正在敲响警钟——不是那种好玩的派对钟——关于cPanel和WebHost Manager(WHM)中新发现的漏洞,这款网络服务器管理软件为大约数亿个网站(好吧,数千万个)提供动力。该漏洞正式编号为CVE-2026-41940,让黑客能大摇大摆地绕过登录屏幕,完全控制受影响的服务器,就像数字版的前门没锁,还挂着“免费物品”的霓虹灯。
cPanel和WHM是网络托管的无名英雄,处理从网站配置到电子邮件管理再到数据库维护的一切——基本上是防止互联网域名泛滥的数字管道。由于这些套件对它们管理的服务器拥有深度、无限制的访问权限,一次成功的黑客攻击意味着攻击者可以像在车库拍卖会上多管闲事的邻居一样翻遍所有数据。
许多商业网络托管公司已经为客户的系统打了补丁,但cPanel的制造商敦促每个人再次检查,因为该漏洞影响所有支持的版本。是的,所有版本。加拿大国家网络安全机构发布了一份咨询,称利用该漏洞“高度可能”,这是政府用语,意思是“别刷了,赶紧打补丁”。
网络托管巨头Namecheap,为其客户使用cPanel,在得知漏洞后封锁了对cPanel面板的访问——就像在派对被搞砸之前,保安关闭了VIP休息室。Hostgator也修补了其系统,称该漏洞为“关键的身份验证绕过漏洞”,听起来很可怕,也确实如此。
一家网络托管公司KnownHost发现证据表明,黑客自2月23日以来一直在滥用该漏洞——那是数月的不速之客潜伏在数字阴影中。首席执行官Daniel Pearson在Reddit上分享说,KnownHost大约有30台服务器显示出未经授权访问的迹象,但未确认有主动入侵。他将这些努力比作尝试,这就像半开的窗户一样令人安心。
cPanel还推出了针对WP Squared的安全修复程序,这是一个用于管理WordPress网站的类似工具,因为显然本周的主题是“修补一切”。如果你在使用cPanel,也许可以问问你的网络托管商——或者就假设他们已经处理好了,然后祈祷好运。