watchTowr Labs 的安全研究人员发现了一个严重的身份验证绕过漏洞,追踪编号为 CVE-2026-41940。该漏洞影响了目前所有受支持的 cPanel 和 WHM 版本。利用该漏洞,攻击者可以非法访问托管基础设施的管理平面,据估计,全球约有 7,000 万个域名正受到此威胁的影响。
KnownHost 已证实,该零日漏洞正处于被实际利用的状态。漏洞存在于控制面板的会话(session)加载与保存机制中,攻击者一旦利用成功,即可获得服务器、SSL 证书及安全协议的 root 级权限。
根据 labs.watchtowrant.com 的报告,该漏洞允许攻击者通过操纵会话数据来绕过身份验证。研究人员通过分析软件的最新补丁,识别出了三个被修改的文件:`Cpanel/Session.pm`、`Cpanel/Session/Load.pm` 以及 `Cpanel/Session/Encoder.pm`。
绕过漏洞的技术细节分析
通过审查 `Session.pm` 文件中 `saveSession` 函数的代码变更,研究人员发现了一条新的条件逻辑路径。补丁引入了一个名为 `filter_sessiondata` 的函数,旨在通过移除回车符和换行符等特定字符来对输入内容进行清洗。
然而,研究人员指出,漏洞的核心在于系统处理会话编码的方式。在未修复的版本中,如果缺少某种特定的“ob”(混淆)元素,系统可能会退回到一种可预测的状态。
watchTowr Labs 在报告中形象地描述了发现过程:“一如既往,凭借着一些线索和脑海中的种种猜想,我们拔掉了这枚‘谚语中的手榴弹’的引信,并纵身跃入其中。”
该漏洞专门针对会话数据的编码方式。研究人员观察到,新代码允许使用“no-ob”前缀,这可能被用于操纵会话条目。尽管 `filter_sessiondata` 函数试图通过从输入字段中剥离 `\r`、`\n`、`=` 和 `\` 等字符来防止会话文件被篡改,但清洗措施仍不彻底。
尽管有了这些清洗手段,但通过会话加载过程绕过身份验证检查的核心问题依然存在。目前,cPanel 已针对不同的发布版本发布了多项补丁以修复此问题。
正在运行 cPanel & WHM 110.0.x 的用户应升级至 11.110.0.97 或更高版本。其他受影响的版本分支包括 118.0.x、126.0.x、132.0.x、134.0.x 和 136.0.x,这些版本均已发布特定的补丁版本以缓解该漏洞带来的风险。
