一、漏洞详情

cPanel&WHM是全球主流的LinuxWeb托管控制面板，WHM提供服务器级管理能力，cPanel面向站点用户提供网站、域名、数据库、邮件等一站式运维管理，广泛应用于虚拟主机、IDC 机房、云服务商与企业自建托管环境。

近日，监测到官方修复cPanel&WHM身份认证绕过漏洞（CVE-2026-41940），由于登录流程中的会话加载与保存机制存在逻辑缺陷。攻击者通过Basic认证头在密码字段注入CRLF字符，并利用缺少ob（对象）部分的会话cookie避免密码编码，从而将恶意键值对写入原始会话文件。随后触发token_denied 流程，使系统重新解析该文件并将注入的 hasroot=1、user=root等记录提升至JSON缓存，最终绕过密码验证获得管理员权限。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

cPanel&WHM 11.86.* < 11.86.0.41

cPanel&WHM 11.110.* < 11.110.0.97

cPanel&WHM 11.118.* < 11.118.0.63

cPanel&WHM 11.126.* < 11.126.0.54

cPanel&WHM 11.130.* < 11.130.0.18

cPanel&WHM 11.132.* < 11.132.0.29

cPanel&WHM 11.134.* < 11.134.0.20

cPanel&WHM 11.136.* < 11.136.0.5

WP Squared 11.136.* < 11.136.1.7

三、修复建议

官方已发布安全补丁，请及时更新至最新版本：

cPanel&WHM 11.86.* >= 11.86.0.41

cPanel&WHM 11.110.* >= 11.110.0.97

cPanel&WHM 11.118.* >= 11.118.0.63

cPanel&WHM 11.126.* >= 11.126.0.54

cPanel&WHM 11.130.* >= 11.130.0.18

cPanel&WHM 11.132.* >= 11.132.0.29

cPanel&WHM 11.134.* >= 11.134.0.20

cPanel&WHM 11.136.* >= 11.136.0.5

WP Squared 11.136.* >= 11.136.1.7