Lỗ hổng CVE nghiêm trọng CVE-2026-41940

02/05/2026
3 mins read
Lỗ hổng CVE nghiêm trọng CVE-2026-41940

CVE-2026-41940 là một lỗ hổng CVE nghiêm trọng trong cPanel & WHM, bị khai thác trước xác thực và đã dẫn tới tình trạng hệ thống bị tấn công trên diện rộng. Công cụ khai thác PoC được công bố công khai với tên cPanelSniper, làm tăng đáng kể rủi ro bảo mật cho các máy chủ còn phơi lộ Internet.

Nội dung
CVE-2026-41940: Lỗi xác thực trước trong cPanel/WHM
Thông số kỹ thuật và phạm vi ảnh hưởng
PoC exploit cPanelSniper và chuỗi khai thác
Đặc điểm kỹ thuật của PoC
Quy mô lỗ hổng CVE và dấu hiệu khai thác
Dấu hiệu IOC liên quan
Khuyến nghị cập nhật bản vá và kiểm tra hệ thống
Kiểm tra sau vá
Checklist phản ứng sự cố cho cảnh báo CVE này

CVE-2026-41940: Lỗi xác thực trước trong cPanel/WHM

CVE-2026-41940 bắt nguồn từ cách module Session.pm của cPanel xử lý tiêu đề HTTP Authorization trong luồng đăng nhập. Lỗi nằm ở hàm saveSession(), khi dữ liệu phiên được ghi xuống đĩa trước khi được filter_sessiondata() làm sạch.

Do đó, các ký tự CRLF chèn vào Basic authorization header có thể được ghi nguyên vẹn vào file session trên đĩa. Kẻ tấn công có thể chèn các trường như user=root, hasroot=1tfa_verified=1 để tạo một phiên WHM root đã xác thực mà không cần thông tin đăng nhập hợp lệ.

Thông số kỹ thuật và phạm vi ảnh hưởng

Lỗ hổng này được đánh giá CVSS 9.8 (Critical) và ảnh hưởng tới toàn bộ phiên bản cPanel & WHM sau 11.40, cùng với WP Squared v136.1.7. cPanel công bố sự cố vào ngày 28/04/2026 và phát hành bản vá khẩn cấp trong cùng ngày, tuy nhiên hoạt động khai thác đã diễn ra từ trước đó.

Tham khảo bản ghi từ NVD: NVD – National Vulnerability Database.

PoC exploit cPanelSniper và chuỗi khai thác

cPanelSniper là một framework PoC khai thác được phát hành công khai trên GitHub, tự động hóa khai thác theo chuỗi tấn công bốn giai đoạn. Công cụ này là mã nguồn Python 3.8+, không cần phụ thuộc bên ngoài và có thể tích hợp với các công cụ như SubfinderShodan.

Khả năng của PoC bao gồm bulk scanning, interactive WHM shell access, thực thi lệnh, liệt kê tài khoản và tạo tài khoản quản trị hậu khai thác. Điều này khiến remote code execution và chiếm quyền điều khiển sau khi xâm nhập trở nên khả thi trong môi trường bị ảnh hưởng.

Mã nguồn công khai: GitHub – cPanelSniper.

Đặc điểm kỹ thuật của PoC

  • Ngôn ngữ: Python 3.8+
  • Phụ thuộc: Không có phụ thuộc ngoài, dùng stdlib
  • Tích hợp: Subfinder, Shodan
  • Chức năng: Quét hàng loạt, truy cập shell WHM, thực thi lệnh
  • Hậu khai thác: Liệt kê tài khoản, tạo backdoor admin

Quy mô lỗ hổng CVE và dấu hiệu khai thác

Theo báo cáo kỹ thuật, hoạt động khai thác đã được truy vết về ít nhất 23/02/2026, cho thấy đây là một zero-day vulnerability đã bị khai thác khoảng hai tháng trước khi có bản vá. Các kết quả tấn công quan sát được gồm triển khai ransomware, thay đổi giao diện website và tuyển mộ vào botnet.

Shadowserver Foundation xác nhận vào 30/04/2026 có khoảng 44.000 địa chỉ IP duy nhất được ghi nhận quét nạn nhân, triển khai exploit hoặc brute-force vào các honeypot của họ. Số lượng hệ thống phơi lộ trên Internet được ước tính khoảng 650.000 instance cPanel/WHM, trong khi khoảng 1,5 triệu instance có thể còn tiềm ẩn nguy cơ theo dữ liệu Shodan.

Dấu hiệu IOC liên quan

  • 44.000 IP quét, khai thác hoặc brute-force trên honeypot
  • Hành vi: quét, khai thác, brute-force, tạo phiên giả mạo
  • Hậu quả: ransomware, defacement, botnet recruitment

Khuyến nghị cập nhật bản vá và kiểm tra hệ thống

CISA đã đưa CVE-2026-41940 vào danh mục Known Exploited Vulnerabilities (KEV) vào ngày 01/05/2026, củng cố mức độ ưu tiên của bản vá bảo mật đối với các hệ thống bị ảnh hưởng.

cPanel đã phát hành các bản vá khẩn cấp cho toàn bộ nhánh đang hoạt động. Quản trị viên cần cập nhật ngay bằng lệnh sau, sau đó khởi động lại dịch vụ và chặn các cổng quản trị từ bên ngoài.

/scripts/upcp --force

Thực hiện khởi động lại các dịch vụ cpsrvdcpdavd, đồng thời chặn lưu lượng đến các cổng 2083, 2087, 20952096 trên firewall.

Kiểm tra sau vá

Đội vận hành nên rà soát thư mục session để phát hiện các file bất thường chứa trường bị chèn như user=root, hasroot=1 hoặc tfa_verified=1. Ngoài ra, cần xoay vòng toàn bộ administrative credentials như một biện pháp phòng ngừa.

Đây là bước cần thiết để giảm nguy cơ bảo mật khi hệ thống đã có khả năng bị xâm nhập trái phép trước thời điểm vá.

Checklist phản ứng sự cố cho cảnh báo CVE này

  • Cập nhật ngay qua /scripts/upcp –force.
  • Khởi động lại cpsrvdcpdavd.
  • Chặn truy cập ngoài vào các cổng 2083/2087/2095/2096.
  • Kiểm tra file session có dấu hiệu chèn trường trái phép.
  • Đổi toàn bộ mật khẩu quản trị sau khi xác minh hệ thống.

lỗ hổng CVE này cho thấy một lỗi xử lý đầu vào nhỏ ở tầng session có thể dẫn tới chiếm quyền root, remote code execution và xâm nhập quy mô lớn nếu hệ thống chưa được cập nhật bản vá kịp thời.

CVE-2026-41940 là một CVE nghiêm trọng cần ưu tiên xử lý ngay trên mọi máy chủ cPanel/WHM đang phơi lộ Internet, đặc biệt khi PoC exploit đã được phát hành công khai và hoạt động quét đang diễn ra liên tục.