網絡寄存控制面板 cPanel 與 WebHost Manager (WHM) 爆出評級 CVSS 9.8 的嚴重保安漏洞,編號 CVE-2026-41940,漏洞容許未經驗證的遠端攻擊者繞過所有登入機制,直接奪取伺服器 root 最高管理權限。cPanel 已於 4 月 28 日緊急推出修補程式,覆蓋所有受影響版本以至 WP Squared 寄存平台。
保安研究機構 watchTowr 同日公開技術分析及概念驗證程式碼,業界普遍視今次事件為近年最嚴重的網絡基建危機。Eye Security 統計顯示全球暴露於互聯網的 cPanel 實例超過 2,000,000 個,而 W3Techs 數據顯示 cPanel 在控制面板市場佔有率高達 94%,今次漏洞對全球網絡寄存生態構成系統性威脅。
漏洞核心:CRLF 注入令 root 權限拱手相讓
cPanel 與 WHM 屬於 Linux 系統上的網絡寄存控制面板,前者讓用戶管理網站、資料庫、檔案傳輸及電郵設定,後者則授予系統管理員 root 級伺服器控制權,Rapid7 及 Hadrian 的技術分析指出,漏洞源於 cPanel 服務守護程式 cpsrvd 在處理登入及會話檔案時,未有妥善過濾 Carriage Return Line Feed (CRLF) 字符。
攻擊者只需先以錯誤密碼觸發一次失敗登入並取得會話 cookie,再藉特製的 Authorization 標頭注入 \r\n 字符及 user=root、hasroot=1、tfa_verified=1 等指令,cpsrvd 便會將這些指令當作合法會話屬性寫入磁碟。攻擊者其後憑該 cookie 重新登入,便能以 root 身份直接進入 WHM 控制台,完全繞過密碼及雙重驗證關卡。
漏洞影響 11.40 之後所有未修補版本,cPanel 已分別為 11.110.0.97、11.118.0.63、11.126.0.54、11.132.0.29、11.134.0.20 及 11.136.0.5 發佈修正版本,並同時將 WP Squared 更新至 136.1.7 版,KnownHost 執行總監 Daniel Pearson 於 Reddit 公開表示,黑客極可能早於 30 日前已將相關漏洞當作零日漏洞利用,意味黑客或已成功入侵部份受影響伺服器。
寄存供應商緊急封鎖連接埠
對寄存供應商及租用 cPanel 平台的企業而言,今次事件直接威脅商業營運,一旦 root 權限失守,攻擊者可讀取所有客戶寄存帳戶內容、修改檔案及資料庫、植入後門帳號、安裝惡意程式、竊取憑證,更可橫向滲透至客戶內部網絡。大型寄存商 Namecheap 已率先實施防火牆規則,臨時封鎖 TCP 連接埠 2083 及 2087 至客戶 cPanel 與 WHM 介面的存取,待 Namecheap 完成全面部署修補程式後才恢復服務,足見業界對風險評估的嚴峻程度。
除官方修補程式外,業界亦推出多項免費檢測工具,協助企業快速辨識受影響伺服器,watchTowr 已於 GitHub 開源檢測工件產生器,Hadrian 亦發佈 Nuclei 偵測模板,可對受影響伺服器執行完整攻擊鏈驗證。Rapid7 建議資訊保安團隊立即盤點所有 cPanel 與 WHM 部署、核實版本、查閱 cpsrvd 存取日誌中是否出現針對 /login/?login_only=1 的 401 回應後緊接 Authorization Basic 請求等可疑模式,並翻查 /var/cpanel/sessions/raw/ 目錄內的會話檔案是否含有 user=root 或 hasroot=1 等異常欄位。企業若確認伺服器曾於 4 月 28 至 29 日暴露於互聯網,應按潛在入侵事件處理,包括檢查未授權帳戶、SSH 密鑰及定時任務。
行業反思與未來趨勢
今次事件再令人注視共享寄存基建的單點失效風險,業界對軟件開發流程及網絡架構設計都有重新審視的需要,cPanel 服務的連接埠 2082、2083、2086、2087、2095 及 2096 在妥善分隔的網絡架構下本不應直接暴露互聯網,但實際部署普遍將管理介面對外開放,方便客戶遠端存取,亦同時放大攻擊面。
雖然 cPanel 已迅速回應,但保安界普遍質疑廠商在預先驗證階段處理用戶輸入的設計理念,並認為現代軟件開發生命週期中的靜態分析及模糊測試,理應能攔截類似 CRLF 注入這類已存在數十年的漏洞類型。
AI 驅動的攻擊速度持續壓縮防守反應窗口,改寫整個網絡安全行業的遊戲規則,watchTowr 於漏洞披露後數小時內啟動自動化緩解規則,反映業界從「事後修補」轉向「實時主動防禦」的明顯趨勢。對企業客戶而言,未來除選擇可靠寄存供應商外,亦須主動建立持續暴露管理 (Continuous Exposure Management) 能力,包括限制管理介面的網絡存取、強制管理員啟用多重驗證、定期審計伺服器配置及異常登入活動。cPanel 漏洞事件提醒企業,網絡基建的安全並非單一供應商的責任,而是整個供應鏈共同的議題。
在攻擊者愈趨自動化、武器化的時代,唯有把保安視為日常營運核心,才能在下一場「鎖匙王國」失陷之前,搶先一步守住自己的城池。
來源:cPanel
