ثغرة خطيرة في cPanel تمنح المخترقين سيطرة كاملة على الخوادم

ثغرة خطيرة في cPanel وWHM يتم استغلالها كهجوم يوم الصفر منذ أشهر
تسمح ثغرة تجاوز المصادقة للمهاجمين بالحصول على وصول إداري إلى الخوادم الضعيفة.

قام قراصنة باستغلال ثغرة أمنية خطيرة جدًا من نوع تجاوز المصادقة في منصة إدارة الخوادم والمواقع cPanel وWHM (مدير استضافة الويب) لعدة أشهر.

تم تتبع الثغرة تحت الرمز CVE-2026-41940 (بدرجة خطورة 9.8 وفق CVSS)، وتم الكشف عنها في 28 أبريل، حيث حثّت شركة cPanel على تطبيق التحديثات الأمنية فورًا، محذّرة من أن جميع إصدارات البرنامج بعد 11.40 متأثرة، دون الكشف عن تفاصيل تقنية.

تؤثر هذه الثغرة على عملية تسجيل الدخول، وقد تسمح للمهاجمين عن بُعد وبدون مصادقة بالحصول على وصول إداري إلى لوحة التحكم، مما يؤدي فعليًا إلى السيطرة الكاملة على النظام.

كما يشير المركز الكندي للأمن السيبراني، فإن الاستغلال الناجح لهذه الثغرة قد يتيح للمهاجم تعديل إعدادات الخادم وربما اختراق جميع المواقع المستضافة على خوادم الاستضافة المشتركة.

وأوضحت شركة الأمن السيبراني Rapid7 أن:
“الاستغلال الناجح للثغرة CVE-2026-41940 يمنح المهاجم السيطرة على نظام استضافة cPanel بالكامل، بما في ذلك إعداداته وقواعد بياناته والمواقع التي يديرها.”

وحذّرت الشركة من أن بحثًا عبر محرك Shodan يُظهر وجود حوالي 1.5 مليون نسخة من cPanel متصلة بالإنترنت وقد تكون معرضة للهجوم.

قامت شركة WatchTowr، المتخصصة في إدارة سطح الهجوم، بتحليل الثغرة CVE-2026-41940، واكتشفت أنه عند فشل محاولة تسجيل الدخول، يقوم خادم cPanel بإنشاء ملف جلسة (Session) قبل المصادقة وتخزينه على القرص. ويمكن للمهاجم التلاعب بملف تعريف الارتباط (Cookie) بحيث يتم إدخال بيانات اعتماد يتحكم بها داخل الملف بشكل نصي واضح.

بعبارة أخرى، تسمح الثغرة للمهاجم بحقن أحرف محددة عبر ترويسة التفويض (Authorization Header) لكتابة معلمات معينة داخل ملف الجلسة، ثم إعادة تحميل الملف للمصادقة باستخدام تلك البيانات المزروعة.

ووفقًا لمنشور على Reddit من شركة الاستضافة KnownHost، تم استغلال هذه الثغرة فعليًا منذ 23 فبراير 2026.

وبمجرد الإبلاغ عن المشكلة، قامت شركات استضافة مثل KnownHost وHostPapa وInMotion وNamecheap وغيرها بحجب الوصول إلى منافذ cPanel وWHM مؤقتًا من أجل نشر التحديثات الأمنية بشكل آمن.

تم تضمين الإصلاحات في إصدارات cPanel وWHM التالية:
11.86.0.41
11.110.0.97
11.118.0.63
11.126.0.54
11.130.0.19
11.132.0.29
11.136.0.5
11.134.0.20

وكذلك في إصدار WP Squared رقم 136.1.7.

وأشارت cPanel في بيانها إلى أنه:
“إذا كان خادمك لا يعمل بإصدار مدعوم من cPanel يمكن تحديثه، فمن الضروري للغاية العمل على تحديثه في أقرب وقت ممكن، لأنه قد يكون أيضًا عرضة لهذه الثغرة.”

كما قامت cPanel بنشر سكربت للكشف عن الاختراق، في حين أطلقت WatchTowr أداة لتوليد مؤشرات الاختراق (Detection Artifact Generator) لمساعدة المسؤولين في اكتشاف أي آثار للاختراق.

المصدر: سيكيورتي ويك