Coup dur pour la sécurité mondiale du web. Une faille critique (score CVSS de 9,8) est activement exploitée affectant cPanel mais aussi WHM (web host manager) débouchant sur du contournement d'authentification. Avec à la clé le risque qu'un pirate récupère un contrôle total sur la gestion et les données d'environ 1,2 million de sites web. cPanel et WHM sont deux panneaux de contrôle basés sur Linux. Le premier sert à gérer les sites web, les bases de données, les transferts de fichiers, les configurations de messagerie et les domaines. Il inclut en particulier DNSOnly pour exploiter un nameserver physique dédié servant à créer un cluster DNS. Le second permet un accès administrateur aux serveurs, certificats SSL ainsi qu'aux protocoles de sécurité.
Ces deux outils constituent des piliers du web et les pirater ouvre la voie à un attaquant pour accéder sans restriction à tous les secrets associés à leurs fonctions. « Considérez-les comme les clés du royaume, puis comme les clés de chaque appartement individuel à l'intérieur du royaume. Si le royaume était Internet et les appartements des sites web. Pour tout. », explique watchTowr. Cette faille CVE-2026-41940 affecte toutes les versions postérieures à la version 11.40 de cPanel et WHM. Une salve de correctifs a été publiée pour les versions suivantes de ces panneaux de contrôle : 11.86.0.41 et plus, 11.110.0.97 et plus, 11.118.0.63 et plus, 11.124.0.35 et plus, 11.126.0.54 et plus, 11. 130.0.19 et plus, 11.132.0.29 et et plus, 11.134.0.20 et plus, et 11.136.0.5 et plus. « Nous avons publié un correctif pour la version suivante de WP Squared : 136.1.7 et versions ultérieures. Pour les clients qui utilisent encore CentOS 6 ou CloudLinux 6 avec la version 110.0.50, nous avons également publié la version 110.0.103 sous forme de mise à jour directe », explique cPanel dans un bulletin d'alerte publié le 28 avril. A noter que WP2 (WordPress Squared) bénéficie aussi d'un correctif pour la v136.1.7 ou postérieure.
Une exploitation antérieure qui pose question
Cette faille de sécurité a contraint des fournisseurs et hébergeurs du monde entier à alerter leurs clients et mettre en place des mesure d'urgence, allant jusqu'à mettre hors ligne des panneaux de contrôle cPanel et WHM pour empêcher tout risque d'accès non autorisé à grande échelle. « Chers clients, nous tenons à vous informer qu’une faille de sécurité liée aux anciennes versions de cPanel a récemment été découverte [...] En raison de cette faille, les serveurs gérés par les utilisateurs qui n’utilisent pas la dernière version de cPanel pourraient être exposés à des risques d’accès non autorisé ou d’instabilité du système. Afin de garantir la sécurité de vos données, nous vous recommandons vivement de mettre à jour votre cPanel vers la dernière version sans délai [...] Si votre serveur présente déjà des signes d'instabilité, n'hésitez pas à contacter notre équipe d'assistance », a indiqué le registrar de noms de domaine Namecheap. Certains n'ont aussi pas manqué de pointer le manque de réactivité de cPanel face à cette situation. « Cette faille a bel et bien été exploitée dans la nature, et son utilisation a été constatée depuis au moins 30 jours, voire plus », a fait savoir Daniel Pearson CEO de l'hebergeur web KnownHost. « J'ai personnellement confirmé l'accès, et l'exploit a été reproduit. Nous ne divulguons aucune de ces informations à l'extérieur pour le moment, car la dernière chose dont le secteur a besoin, c'est d'une foule d'imitateurs qui s'y essaient. »
La Cisa, agence nationale de la cybersécurité américaine, a placé cette CVE-2026-41940 dans son catalogue de failles exploitées et préconise dans un bulletin « d'appliquer les mesures d'atténuation conformément aux instructions du fournisseur, suivre les recommandations applicables de la directive BOD 22-01 relatives aux services cloud, ou cesser d'utiliser le produit si aucune mesure d'atténuation n'est disponible. »