Uma vulnerabilidade zero-day no cPanel e WebHost Manager (WHM), rastreada como CVE-2026-41940, resultou na comprometimento de mais de 40 mil servidores em todo o mundo. A falha permite que atacantes obtenham acesso administrativo completo sem autenticação, colocando em risco milhões de sites, bancos de dados e configurações hospedados na plataforma.
O que é a falha
O CVE-2026-41940 é uma vulnerabilidade de bypass de autenticação que afeta todas as versões suportadas do cPanel e WHM acima da 11.40, incluindo as variantes DNSOnly e WP Squared. Divulgada em 28 de abril de 2026, a falha permite que um atacante sem credenciais válidas obtenha acesso total ao painel administrativo do servidor. Segundo a advisory de segurança do cPanel, o problema reside no processamento inadequado de cabeçalhos de autorização. Caracteres especiais nesses cabeçalhos permitem a injeção de parâmetros em arquivos de sessão, que são recarregados para autenticar o atacante como administrador. A gravidade foi reconhecida pela CISA, que incluiu o CVE no catálogo de vulnerabilidades exploradas conhecidas (KEV), exigindo patch de agências federais em quatro dias. Todos os branches de versão suportados são afetados, o que torna a superfície de ataque particularmente ampla em infraestruturas de hospedagem compartilhada.
Como o ataque funciona
A exploração do CVE-2026-41940 não exige interação do usuário nem credenciais previamente obtidas. O atacante envia uma requisição HTTP contendo caracteres especiais nos cabeçalhos de autorização. Esses caracteres gravam parâmetros diretamente em arquivos de sessão do servidor cPanel. Na etapa seguinte, o atacante aciona o recarregamento desse arquivo de sessão. O servidor interpreta os parâmetros injetados como credenciais administrativas válidas, concedendo acesso total ao painel WHM.
Com esse acesso, o invasor pode criar e excluir contas de hospedagem, acessar todos os bancos de dados do servidor, injetar código malicioso em todos os sites hospedados e instalar webshells para acesso persistente. O grupo de pesquisa WatchTowr publicou detalhes técnicos completos da exploração, o que provocou um novo pico de ataques após a divulgação. Pesquisadores da Rapid7 observaram que a técnica é relativamente simples de executar e não requer exploits sofisticados, o que baixa a barreira para atacantes com menor capacidade técnica.
Escala da invasão
A Shadowserver Foundation documentou que o pico da campanha atingiu 44 mil endereços IP únicos executando exploits contra sensores honeypot. A Rapid7 estimou que existem cerca de 1,5 milhão de instâncias do cPanel acessíveis pela internet, indicando um percentual expressivo de servidores sob risco direto. A plataforma cPanel é utilizada por grandes provedores de hospedagem compartilhada como Namecheap, HostGator e KnownHost. Após o disclosure, esses provedores bloquearam temporariamente o acesso ao painel cPanel de seus clientes para aplicar correções sem risco de exploração durante o processo, conforme reportado pela TechCrunch.
Bancos, organizações de saúde e serviços governamentais utilizam cPanel para gerenciar infraestrutura de produção. Um único servidor comprometido pode expor centenas de sites e bancos de dados de uma vez. Os países com maior concentração de servidores afetados incluem Estados Unidos, França e Países Baixos, segundo dados da Shadowserver.
Linha do tempo
- Fim de fevereiro de 2026 — Primeiras evidências de exploração selvagem, conforme relatos de provedores de hospedagem.
- 28 de abril de 2026 — cPanel divulga a vulnerabilidade e lança correções para todas as versões suportadas.
- 30 de abril de 2026 — Namecheap e HostGator bloqueiam acesso ao cPanel para aplicar patches de emergência.
- Início de maio de 2026 — WatchTowr publica análise técnica detalhada do exploit, provocando nova onda de ataques.
- 3 de maio de 2026 — Shadowserver registra pico de 44 mil IPs comprometidos em escaneamento global.
- Maio de 2026 — CISA adiciona CVE-2026-41940 ao KEV catalog, com prazo de quatro dias para patch federal.
- Junho de 2026 — Campanha continua ativa com exploração acelerada mesmo após disponibilização das correções.
Versões e correções
Todas as versões do cPanel após a 11.40 são afetadas. O vendor publicou patches para as seguintes release branches:
| Versão corrigida | Tipo de branch |
|---|---|
| 11.86.0.41 | LTS |
| 11.110.0.97 | Stable |
| 11.118.0.63 | Current |
| 11.124.0.35 | Edge |
| 11.126.0.54 | Release |
| 11.130.0.19 | Release |
| 11.132.0.29 | Release |
| 11.134.0.20 | Release |
| 11.136.0.5 | Release |
| WP Squared 136.1.7 | WP Squared |
Administradores devem aplicar a correção imediatamente e verificar logs de acesso ao WHM em busca de sessões administrativas originadas de IPs não autorizados. A Malwarebytes recomenda que provedores de hospedagem comuniquem clientes sobre a possibilidade de exposição de dados e orientem sobre a troca de senhas.
Como se proteger
Para administradores de servidores, as ações prioritárias são atualizar para uma versão corrigida, auditar logs do WHM em busca de acessos administrativos suspeitos, verificar a existência de contas de hospedagem criadas sem autorização e executar scans de malware em todos os sites hospedados. Credenciais de todas as contas devem ser rotacionadas após confirmação de que o servidor está livre de backdoors.
Para usuários finais, a recomendação é evitar salvar dados de cartão de crédito em sites de e-commerce, utilizar gerenciadores de senhas com credenciais únicas por serviço e habilitar autenticação de dois fatores com chave hardware FIDO2 sempre que disponível. Dados armazenados em servidores cPanel antes do patch devem ser tratados como potencialmente comprometidos.