No dia de hoje (29/04/2026) foi publicada uma vulnerabilidade pelo NVD envolvendo duas principais tecnologias utilizadas por serviços de hospedagem: cPanel e WHM. A vulnerabilidade já tinha vindo à tona no dia 28/04 pela VulnCheck, mas continua recebendo constantes atualizações em seu status.

O cPanel é um painel de controle web amplamente utilizado para gerenciar hospedagem de sites individuais, permitindo criar e-mails, subdomínios, bancos de dados, arquivos e instalações de aplicativos como WordPress de forma intuitiva.

Já o WHM (WebHost Manager) atua como painel administrativo “mãe”, onde administradores de servidores criam, editam e monitoram múltiplas contas cPanel, definem pacotes de recursos, gerenciam DNS, backups e configurações globais em VPS ou dedicados.

Criticidade e Expectativa de Exploração

A CVE-2026-41940 é classificada como crítica devido ao bypass completo de autenticação no cPanel & WHM, permitindo acesso remoto não autorizado a painéis administrativos contornando processos normais de autenticação em instalações das ferramentas. Especialistas da VulnCheck preveem exploração ativa iminente, especialmente em servidores expostos na Internet, dada a prevalência do cPanel em hospedagens compartilhadas.

Alguns dos principais serviços de hospedagem que utilizam cPanel e WHM incluem Hostinger, HostGator, Namecheap, TMDHosting, GreenGeeks, A2 Hosting, HostPapa, InMotion Hosting, Bluehost, GoDaddy e InterServer.

Por enquanto, com base no que foi divulgado pelas fontes, é possível observar o seguinte cenário:

• CVSS 3.x: 9.8 (Crítico), indicando um alto risco em sua exploração.
• CWE-306: Autenticação ausente para função crítica.
• Vetor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, indicando uma exploração pela rede, de maneira simples, sem a necessidade de autenticação e comprometendo confidencialidade, integridade e disponibilidade.

Detalhes da Vulnerabilidade

A exploração da CVE-2026-41940 ocorre por meio de uma combinação de falhas no fluxo de autenticação e no gerenciamento de sessões do cPanel & WHM.

De acordo com a watchTowr, um atacante remoto consegue manipular uma sessão pré-autenticada e injetar dados controlados no arquivo de sessão, fazendo com que o sistema passe a interpretar aquela sessão como autenticada e válida. Com isso, o servidor pode aceitar atributos forjados de autenticação e privilégio, transformando uma tentativa inicial sem credenciais válidas em acesso indevido ao painel administrativo.

As versões divulgadas que estão vulneráveis são:

• cPanel & WHM 11.110.0 < 11.110.0.97
• cPanel & WHM 11.118.0 < 11.118.0.63
• cPanel & WHM 11.126.0 < 11.126.0.54
• cPanel & WHM 11.132.0 < 11.132.0.29
• cPanel & WHM 11.134.0 < 11.134.0.20
• cPanel & WHM 11.136.0 < 11.136.0.5
• WP Squared 11.136.1 < 11.136.1.7

Correção da Vulnerabilidade

Para realizar a correção, atualize imediatamente para as versões corrigidas via interface do WHM ou script /scripts/upcp --force. Para mais informações, é possível consultar o advisory oficial da cPanel.

Outras mitigações temporárias incluem bloquear portas 2083/2087 no firewall e monitorar logs de acesso.

Além disso, para serviços de hospedagem, algumas empresas como a Namecheap já divulgaram notas de atualização com as medidas preventivas adotadas e atualizações realizadas.

Versões que já possuem o patch de correção são:

• cPanel & WHM 11.110.0.97
• cPanel & WHM 11.118.0.63
• cPanel & WHM 11.126.0.54
• cPanel & WHM 11.130.0.18
• cPanel & WHM 11.132.0.29
• cPanel & WHM 11.136.0.5
• cPanel & WHM 11.134.0.20
• WP Squared 11.136.1.7

Referências

[1] CPANEL. cPanel & WHM Security Update 04/28/2026. Disponível em: support.cpanel.net. Acesso em: 29 abr. 2026.

[2] NIST. CVE-2026-41940 Detail. Disponível em: nvd.nist.gov. Acesso em: 29 abr. 2026.

[3] WATCHTOWR LABS. The Internet Is Falling Down, Falling Down, Falling Down (cPanel & WHM Authentication Bypass CVE-2026-41940). Disponível em: labs.watchtowr.com. Acesso em: 29 abr. 2026.

[4] VULNCHECK. cPanel & WHM Authentication Bypass via Login Flow. Disponível em: vulncheck.com. Acesso em: 29 abr. 2026.