Impatto Sistemico

Critico (75.12)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2026-41940 – già sanata dal vendor – presente nei software cPanel & WHM e WP Squared, noti pannelli di controllo per l’hosting web. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente malintenzionato remoto non autenticato di ottenere accesso amministrativo e di prendere il controllo totale dei servizi di hosting gestiti.

Tipologia

• Authentication Bypass

Descrizione e potenziali impatti

La vulnerabilità, tracciata tramite la CVE-2026-41940 – di tipo “ Missing Authentication for Critical Function ” e con CVSS v3.1 pari a 9.8 – interessa il demone cpsrvd , in particolare il flusso di autenticazione HTTP Basic , e deriva da una gestione non sicura delle sessioni pre‑autenticazione in quanto specifici valori di input controllati dall’utente, in particolare il campo relativo alla password, non vengono sanificati in modo adeguato nel contesto del salvataggio della sessione, consentendo la manipolazione dello stato di autenticazione.

La vulnerabilità sfrutta quindi la caratteristica di cPanel & WHM di creare, anche per i tentativi di accesso non riusciti, una sessione pre‑autenticata e persistente su disco, che viene utilizzata dal demone cpsrvd come meccanismo di mantenimento dello stato tra richieste successive e rappresenta la base su cui viene successivamente effettuata la promozione a sessione autenticata.

La combinazione di questi fattori fa sì che gli input controllati dall’attaccante vengano inseriti nella struttura di sessione e, attraverso i normali meccanismi di persistenza, salvati nel file di sessione. A causa della struttura e del formato delle sessioni utilizzate da cPanel, tali dati possono poi essere interpretati, durante il ricaricamento della sessione, come campi di sessione legittimi, permettendo la manipolazione dello stato di autenticazione e l’elusione dei controlli di accesso previsti.

Il risultato di questo processo è un bypass completo dell’autenticazione, che può portare all’accesso non autorizzato al pannello di controllo. Nei casi più gravi, l’attaccante può ottenere privilegi amministrativi, inclusi quelli a livello WHM/root, con conseguente compromissione dell’intero server.

Prodotti e/o versioni affette

cPanel & WHM

• 11.86.x versioni precedenti alla 11.86.0.41
• 11.110.x versioni precedenti alla 11.110.0.97
• 11.118.x versioni precedenti alla 11.118.0.63
• 11.126.x versioni precedenti alla 11.126.0.54
• 11.130.x versioni precedenti alla 11.130.0.19
• 11.132.x versioni precedenti alla 11.132.0.29
• 11.134.x versioni precedenti alla 11.134.0.20
• 11.136.x versioni precedenti alla 11.136.0.5

WP Squared

• versioni precedenti alla 136.1.7

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.