CVE-2026-41940 no cPanel e WHM: o que é e como corrigir?

Nesta quinta-feira (30), administradores de servidores que utilizam cPanel & WHM foram alertados sobre uma atualização de segurança com grau de urgência máxima.

A falha, catalogada como CVE-2026-41940, expõe servidores de hospedagem a acesso não autorizado por meio de uma brecha no mecanismo de autenticação da plataforma.

A CISA (Cybersecurity and Infrastructure Security Agency) determinou que todas as agências federais civis dos Estados Unidos aplicassem os patches do cPanel até hoje, 3 de maio de 2026, um prazo excepcionalmente curto que reflete a gravidade e o status de exploração ativa da vulnerabilidade.

O impacto tem potencial de afetar provedores de hospedagem, agências digitais, e-commerces e qualquer operação que dependa do painel para gerenciar ambientes de clientes, precisam tratar a correção com prioridade operacional imediata.

O que é o CVE-2026-41940?

O CVE-2026-41940 é uma vulnerabilidade classificada como authentication bypass no software cPanel & WHM. Ela permite que um agente externo contorne os mecanismos de login do painel e acesse o servidor sem credenciais válidas. A falha afeta todas as versões lançadas após a 11.40, incluindo instalações que executam apenas o DNSOnly.

Como funciona a falha de authentication bypass no cPanel?

Authentication bypass é uma falha que permite a um atacante contornar o processo de verificação de identidade de um sistema. No caso do CVE-2026-41940, o agente malicioso consegue acessar o ambiente administrativo do cPanel sem fornecer usuário e senha válidos, obtendo controle sobre o servidor de hospedagem afetado.

Na prática, o atacante não precisa quebrar senhas nem realizar força bruta. Ele explora uma inconsistência na lógica de verificação da sessão, obtendo acesso direto às interfaces administrativas nas portas padrão do cPanel: 2083 (cPanel), 2087 (WHM), 2095 e 2096 (Webmail).

A gravidade aumenta porque essas portas frequentemente ficam acessíveis na internet pública, o que amplia a superfície de ataque sem qualquer necessidade de acesso prévio à rede interna.

A falha encadeia dois problemas: CRLF Injection no processamento de senha via Basic Auth, que permite injetar dados arbitrários no arquivo de sessão, e uma condição de corrida no armazenamento dual de sessões do cPanel (arquivo raw + cache JSON), onde os dados injetados persistem e são aceitos como legítimos pela camada de autenticação. O resultado é acesso root sem nenhuma credencial.

A exploração começou dois meses antes do patch

O provedor KnownHost confirmou que o CVE-2026-41940 foi explorado ativamente como zero-day desde pelo menos 23 de fevereiro de 2026, cerca de dois meses antes do patch emergencial lançado pelo cPanel em 28 de abril.

A falha havia sido reportada ao cPanel aproximadamente duas semanas antes do advisory público, e a resposta inicial da empresa foi de que não havia problema. Em 29 de abril, a firma watchTowr Labs publicou análise técnica e prova de conceito do exploit, tornando a exploração em larga escala uma questão de horas.

Em 1º de maio, a CISA adicionou o CVE-2026-41940 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e determinou que todas as agências federais civis dos Estados Unidos aplicassem o patch até 3 de maio de 2026. O Centro Canadense de Cibersegurança emitiu alerta independente classificando a exploração como "altamente provável" e exigindo ação imediata.

Quais versões do cPanel e WHM foram afetadas?

A vulnerabilidade está presente em todas as instalações do cPanel & WHM com versão superior à 11.40. O WP Squared também foi identificado como afetado. As versões com a correção aplicada são:

• cPanel & WHM: 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 e 11.136.0.5
• WP Squared: 136.1.7
• CentOS 6 e CloudLinux 6 (versão 110.0.50): atualização direta para a 110.0.103

Servidores com atualizações automáticas desativadas ou com versão fixada manualmente não receberam o patch de forma automática e exigem intervenção manual imediata.

Como corrigir a vulnerabilidade CVE-2026-41940?

O processo de correção envolve três etapas executadas diretamente no terminal do servidor:

1. Executar o script de atualização forçada:

/scripts/upcp --force

2. Confirmar a versão instalada após a atualização:

/usr/local/cpanel/cpanel -V

3. Reiniciar o serviço com hard restart:

/scripts/restartsrv_cpsrvd --hard

A confirmação da versão instalada é um passo que muitos administradores pulam, mas é o único modo de verificar objetivamente que o patch foi aplicado com sucesso antes de reabrir o acesso ao painel.

Em servidores que estiveram vulneráveis entre fevereiro e 28 de abril, aplicar o patch corrige a brecha, mas não remove o que um atacante pode ter instalado durante esse período: backdoors, chaves SSH não autorizadas, cron jobs maliciosos ou binários modificados. A recomendação passa a ser atualizar e auditar o ambiente completo, sendo os dois passos obrigatórios e não se substituem.

Como detectar se o servidor já foi comprometido?

Arquivos de sessão em /var/cpanel/sessions/raw/ cujo campo pass= contenha caracteres \r ou \n embutidos, ou onde pass= seja seguido por um par chave=valor na linha seguinte, são indicadores diretos de exploração.

A equipe do cPanel disponibilizou ainda um script de detecção de indicadores de comprometimento (IoCs) chamado ioc_checksessions_files.sh. Ele deve ser executado via bash:

/bin/bash ./ioc_checksessions_files.sh

O script varre o sistema de arquivos em busca de sessões atípicas e rastros que indiquem acesso indevido anterior à aplicação do patch. A execução desse script deve preceder qualquer declaração de que o ambiente está limpo. Ambientes que não passaram por essa verificação ainda não podem ser considerados seguros, mesmo após a atualização.

O que fazer quando a atualização imediata não é possível?

Em ambientes com restrições operacionais que impedem a atualização imediata — como janelas de manutenção programadas ou dependências de versão — duas mitigações temporárias reduzem a superfície de ataque:

Opção 1: bloquear no firewall do servidor todo o tráfego de entrada nas portas 2083, 2087, 2095 e 2096.

Opção 2: interromper e desativar os serviços cpsrvd e cpdavd via WHM API até que a atualização possa ser aplicada.

Nenhuma das duas opções substitui a aplicação do patch. Elas funcionam como contenção temporária enquanto a janela de manutenção não é aberta.

O que essa vulnerabilidade revela sobre a gestão de hospedagem

O CVE-2026-41940 expõe um problema que antecede o próprio cPanel: a cultura de atualizações adiadas. Muitos administradores desativam atualizações automáticas para evitar mudanças não planejadas em produção, o que é compreensível do ponto de vista de estabilidade, mas cria uma janela de risco crescente entre a publicação de um patch e sua aplicação real.

Servidores com versões fixadas em releases antigas acumulam CVEs não corrigidos. Quando uma dessas falhas é explorada ativamente, como pode acontecer nas próximas horas com o CVE-2026-41940, o tempo de exposição já é suficiente para comprometer dados de clientes, quebrar contratos de SLA e gerar passivos legais sob a LGPD.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) exige que as organizações adotem medidas técnicas e administrativas capazes de proteger dados pessoais de acessos não autorizados. Uma vulnerabilidade conhecida, com patch disponível e não aplicada, configura negligência passível de notificação à ANPD e aplicação de sanções.

O papel do provedor de hospedagem

A maioria das empresas que contrata hospedagem gerenciada parte do pressuposto de que o provedor acompanha o ciclo de publicação de CVEs e aplica patches antes que incidentes ocorram. Na prática, isso só é possível quando o provedor mantém um NOC próprio operando continuamente, com processos definidos de monitoramento de segurança e resposta a incidentes.

A HostDime Brasil opera com monitoramento 24x7 e equipe técnica local preparada para identificar boletins de segurança críticos e acionar procedimentos de atualização sem depender de chamados abertos pelo cliente.

Para ambientes hospedados no data center da HostDime em João Pessoa, certificado com ISO 27001, entre outras normas internacionais, o acompanhamento de vulnerabilidades em camada de sistema faz parte do processo operacional padrão, não de um serviço adicional.

Isso tem implicação direta para quem opera sob o cPanel, já que quando um CVE com authentication bypass é divulgado, a janela entre a publicação e a exploração ativa pode ser medida em horas. Provedores com processos de resposta a incidentes maduros conseguem aplicar patches antes que a falha seja explorada no ambiente de produção. Provedores sem esse nível de operação aguardam o cliente abrir um chamado.

Checklist de resposta imediata ao CVE-2026-41940

Para administradores que gerenciam seus próprios servidores com cPanel, o roteiro mínimo de resposta é:

• Verificar a versão atual do cPanel via /usr/local/cpanel/cpanel -V
• Executar /scripts/upcp --force imediatamente
• Confirmar que a versão instalada corresponde a uma das versões corrigidas listadas acima
• Executar o script ioc_checksessions_files.sh para identificar possíveis comprometimentos anteriores ao patch
• Reiniciar o serviço com /scripts/restartsrv_cpsrvd --hard
• Revisar logs de acesso nas portas 2083, 2087, 2095 e 2096 nas últimas 72 horas
• Documentar o incidente para fins de conformidade com a LGPD, caso dados de terceiros estejam hospedados no ambiente

O CVE-2026-41940 foi uma zero-day ativa por dois meses, com prova de conceito pública, 1,5 milhão de instâncias expostas e prazo governamental de remediação já no limite desta data.

A aplicação imediata do patch é obrigatória, mas em servidores expostos durante a janela de fevereiro a abril, a resposta correta é tratar o ambiente como potencialmente comprometido e auditar antes de declarar a operação segura.

A vulnerabilidade reforça que a segurança de ambientes de hospedagem não pode depender exclusivamente da reatividade do administrador.

Para empresas que operam sistemas críticos no Brasil, a escolha de um provedor de hospedagem com operação própria, monitoramento contínuo e processos de gestão de vulnerabilidades documentados, como o da HostDime, é um requisito de conformidade e continuidade operacional.