O Diário de Analistas
Vol. 2  |  N. 4  |  Pp. 107–109  |  2026  |  ISSN xxxx-xxxx

Alerta: Vulnerabilidade em Autenticação no cPanel e no WHM WebHost Manager (CVE-2026-41940)

Publicado por: Guilherme Romanholo Bofo.
Data de publicação: 29 de abril de 2026.
Data de atualização: 29 de abril de 2026.

No dia 29/04/2026, foi publicada no NVD a vulnerabilidade CVE-2026-41940, afetando duas das principais tecnologias utilizadas em serviços de hospedagem: cPanel e WHM WebHost Manager. Embora a falha já tivesse sido divulgada anteriormente,  o caso segue em evolução, com atualizações frequentes em seu status e detalhamento técnico.

O cPanel é um painel de controle web amplamente utilizado para gerenciar hospedagem de sites individuais, permitindo criar e-mails, subdomínios, bancos de dados, arquivos e instalações de aplicativos como WordPress de forma intuitiva.

Já o WHM (WebHost Manager) atua como painel administrativo “mãe”, onde administradores de servidores criam, editam e monitoram múltiplas contas cPanel, definem pacotes de recursos, gerenciam DNS, backups e configurações globais em VPS ou dedicados.

Criticidade e Expectativa de Exploração

A CVE-2026-41940 é classificada como crítica devido ao bypass completo de autenticação no cPanel & WHM, permitindo acesso remoto não autorizado a painéis administrativos contornando processos normais de autenticação em instalações das ferramentas. Especialistas da VulnCheck preveem exploração ativa iminente, especialmente em servidores expostos na Internet, dada a prevalência do cPanel em hospedagens compartilhadas.

Alguns dos principais serviços de hospedagem que utilizam cPanel e WHM incluem Hostinger, HostGator, Namecheap, TMDHosting, GreenGeeks, A2 Hosting, HostPapa, InMotion Hosting, Bluehost, GoDaddy e InterServer.

Por enquanto, com base no que foi divulgado pelas fontes, é possível observar o seguinte cenário:

  • CVSS 3.x: 9.8 (Crítico), indicando um alto risco em sua exploração.
  • CWE-306: Autenticação ausente para função crítica.
  • Vetor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, indicando uma exploração remota pela rede, de maneira simples, sem a necessidade de autenticação e comprometendo confidencialidade, integridade e disponibilidade.

Detalhes da Vulnerabilidade

A exploração da CVE-2026-41940 ocorre por meio de uma combinação de falhas no fluxo de autenticação e no gerenciamento de sessões do cPanel & WHM.

De acordo com a watchTowr, um atacante remoto consegue manipular uma sessão pré-autenticada e injetar dados controlados no arquivo de sessão, fazendo com que o sistema passe a interpretar aquela sessão como autenticada e válida. Com isso, o servidor pode aceitar atributos forjados de autenticação e privilégio, transformando uma tentativa inicial sem credenciais válidas em acesso indevido ao painel administrativo.

As versões divulgadas que estão vulneráveis são:

  • cPanel & WHM 11.110.0 < 11.110.0.97
  • cPanel & WHM 11.118.0 < 11.118.0.63
  • cPanel & WHM 11.126.0 < 11.126.0.54
  • cPanel & WHM 11.132.0 < 11.132.0.29
  • cPanel & WHM 11.134.0 < 11.134.0.20
  • cPanel & WHM 11.136.0 < 11.136.0.5
  • WP Squared 11.136.1 < 11.136.1.7

Correção da Vulnerabilidade

Para realizar a correção, atualize imediatamente para as versões corrigidas via interface do WHM ou script /scripts/upcp --force. Para mais informações, é possível consultar o advisory oficial da cPanel.

Outras mitigações temporárias incluem bloquear portas 2083/2087 no firewall e monitorar logs de acesso.

Além disso, para serviços de hospedagem, algumas empresas como a Namecheap já divulgaram notas de atualização com as medidas preventivas adotadas e atualizações realizadas.

Versões que já possuem o patch de correção são:

  • cPanel & WHM 11.110.0.97
  • cPanel & WHM 11.118.0.63
  • cPanel & WHM 11.126.0.54
  • cPanel & WHM 11.130.0.18
  • cPanel & WHM 11.132.0.29
  • cPanel & WHM 11.136.0.5
  • cPanel & WHM 11.134.0.20
  • WP Squared 11.136.1.7

Referências

[1] CPANEL. cPanel & WHM Security Update 04/28/2026. Disponível em: support.cpanel.net. Acesso em: 29 abr. 2026.

[2] NIST. CVE-2026-41940 Detail. Disponível em: nvd.nist.gov. Acesso em: 29 abr. 2026.

[3] WATCHTOWR LABS. The Internet Is Falling Down, Falling Down, Falling Down (cPanel & WHM Authentication Bypass CVE-2026-41940). Disponível em: labs.watchtowr.com. Acesso em: 29 abr. 2026.

[4] VULNCHECK. cPanel & WHM Authentication Bypass via Login Flow. Disponível em: vulncheck.com. Acesso em: 29 abr. 2026.

Tags: , , , , , .

Categorias: Alerta, CVE, Patches, Vulnerabilidade.

Guilherme Romanholo Bofo Formado em Ciência da Computação pela UNESP, atualmente é estudante de Mestrado pelo Programa de Pós-Graduação da UNESP. Também é pesquisador na área de cibersegurança, na área de detecção de abuso de DNS, pelo Laboratório ACME! Cybersecurity Research.