cPanel重大漏洞出現濫用的概念驗證框架,全球網際網路尚有兩萬多臺伺服器遭駭
WebPros在4月28日修補cPanel/WHM的9.8分重大漏洞CVE-2026-41940,該漏洞允許未經身分驗證的攻擊者透過HTTP標頭CRLF注入獲取root權限。CISA隨即將其列入KEV清單,並於5月1日出現概念驗證框架cPanelSniper。Shadowserver基金會監測顯示,受影響IP位址從4月30日的4.4萬個降至5月1日的2萬餘個,美國、法國、德國為重災區。
Summary
WebPros旗下的cPanel與WHM(WebHost Manager)在2026年4月28日揭露並修補了一個CVSS評分高達9.8分的重大安全漏洞CVE-2026-41940。cPanel與WHM是廣泛用於Linux系統網站主機代管管理的軟體平台,此漏洞的存在對全球大量伺服器構成嚴重威脅。
漏洞披露後僅兩天,美國網路安全和基礎設施安全局(CISA)即宣布將CVE-2026-41940加入已知遭利用漏洞清單(KEV),原因是觀察到針對此漏洞的惡意活動明顯增加。該漏洞屬於身分驗證繞過類型,允許未經身分驗證的遠端攻擊者無需任何有效憑證,透過在授權HTTP標頭中注入CRLF(\r\n)換行序列,直接獲取root層級的WHM存取權限,危害程度極高。
5月1日,資安研究員Yunus Emre Öztaş在GitHub上發布了名為cPanelSniper的概念驗證(PoC)框架,進一步降低了攻擊門檻,並對漏洞的技術細節提供了更清晰的說明。同日,Shadowserver基金會在社群平台X上發出警示,指出針對CVE-2026-41940的攻擊持續活躍,並發現約4.4萬個IP位址疑似遭駭,且有攻擊者針對其蜜罐進行掃描、漏洞濫用及暴力破解攻擊。
根據Shadowserver基金會的監測數據,4月30日全球遭駭IP位址總數達44,089個,受災最嚴重的三個國家依序為美國(15,200個)、法國(4,300個)、德國(4,200個),臺灣亦有71個IP位址受影響。至5月1日,遭駭IP總數降至20,771個,前三名國家調整為美國(7,400個)、法國(2,200個)、印度(1,200個),臺灣仍有13個IP位址遭駭。
About this episode
供應網站主機代管相關軟體的WebPros,擁有可簡化Linux系統管理的cPanel與WHM(WebHost Manager),在4月28日揭露與修補9.8分重大漏洞CVE-2026-41940,兩天後,美國網路安全和基礎設施安全局(CISA)宣布,將CVE-2026-41940加入已知遭利用漏洞清單(KEV),因為他們觀察到濫
Key Insights
- CVE-2026-41940是一個無需任何有效憑證即可被利用的身分驗證繞過漏洞,攻擊者僅需透過HTTP標頭注入CRLF序列即可獲得root層級WHM權限,技術門檻相對低。
- CISA在漏洞修補後僅兩天便將CVE-2026-41940列入KEV清單,顯示該漏洞在野外被積極利用的速度異常迅速,遠快於一般漏洞的利用週期。
- Shadowserver基金會的數據顯示,從4月30日至5月1日,全球遭駭IP位址數量從44,089個大幅下降至20,771個,降幅超過50%,但攻擊活動仍在持續。
- 資安研究員Yunus Emre Öztaş在CISA發出警告的同日即於GitHub公開概念驗證框架cPanelSniper,此舉在提升漏洞透明度的同時,也可能進一步加劇攻擊活動的擴散。
- 美國在兩個觀測日期中均為受駭IP數量最多的國家(分別為15,200個及7,400個),法國穩居第二,而印度在5月1日取代德國成為第三大受災國,顯示攻擊目標的地理分布出現動態變化。
Topics
Transcript
供應網站主機代管相關軟體的WebPros,擁有可簡化Linux系統管理的cPanel與WHM(WebHost Manager), 在4月28日揭露與修補9.8分重大漏洞CVE-2026-41940 , 兩天後,美國網路安全和基礎設施安全局(CISA)宣布,將CVE-2026-41940加入 已知遭利用漏洞清單(KEV) ,因為他們觀察到濫用此漏洞的活動變得活躍,5月1日GitHub出現濫用CVE-2026-41940的概念驗證框架 cPanelSniper ,由資安研究員Yunus Emre Öztaş發布,其簡介對於CVE-2026-41940屬於身分驗證繞過類型的漏洞,提供更清楚的說明:此弱點允許未經身分驗證的遠端攻擊者(不需任何有效憑證),獲取root層級的WHM存取權限,方法是透過授權的HTTP標頭注入CRLF(\r\n)換行序列。 5月1日Shadowserver基金會也在社群網站X發文,警示濫用CVE-2026-41940的攻擊持續發生,他們發現4.4萬個IP位址疑似遭駭,而且針對他們設置的蜜罐誘捕陷阱進行掃描、漏洞濫用或暴力破解攻擊。 根據Shadowserver基金會的儀表板顯示,4月30日遭駭的IP位址總數為44,089個,數量前三的國家分別是美國(15,200個)、法國(4,300個)、德國(4,200個),臺灣有71個IP位址遭駭。5月1日遭駭的IP位址總數降至20,771個,數量前三的國家分別是美國(7,400個)、法國(2,200個)、印度(1,200個),臺灣還有13個IP位址遭駭。
Full transcript available for MurmurCast members
Sign Up to AccessMore from iThome 新聞
【2026 企業資安大調查】一張圖看2026年一般製造業企業資安風險
The 2026 iThome CIO & CISO survey reveals that general manufacturing enterprises face more high-impact, high-risk threats than high-tech manufacturers, with 11 items in the first quadrant. The sector is rapidly adopting generative AI but lacks corresponding governance frameworks, making LLM-related risks particularly acute. Phishing, BEC, and ransomware remain top threats, while LLM data leakage has newly entered the critical risk zone.
對抗先進AI模型帶來的資安威脅態勢急速惡化,AI紅隊平臺新創廠商Armadin與兩大資安公司宣布合作
AI紅隊新創公司Armadin宣布與CrowdStrike及Palo Alto Networks策略合作,以應對先進AI模型(如Mythos與GPT-Cyber)帶來的急速惡化資安威脅態勢。合作重點分別聚焦於企業內部環境防護與外部攻擊面掌控,整合AI驅動的自主攻擊模擬與評估能力,協助企業在機器速度下完成過去需數週的滲透測試工作。
Ubuntu與Canonical網站疑似遭遇DDoS攻擊而停擺
2025年5月1日,親伊朗駭客組織「伊拉克伊斯蘭網路抵抗組織—313團隊」對Canonical與Ubuntu多個網站發動DDoS攻擊,導致服務中斷超過24小時。攻擊波及ubuntu.com、canonical.com等十餘個網站,涵蓋開發工具、資安API及入口網站。此次攻擊對全球開發者、雲端服務供應商及企業用戶造成重大影響。
Linux系統核心存在高風險漏洞Copy Fail,本機使用者能藉此奪取root權限,廣泛影響多個主流Linux版本
A high-severity Linux kernel vulnerability dubbed 'Copy Fail' (CVE-2026-31431) has been disclosed by security firm Theori, scoring 7.8 on the severity scale. The flaw, existing for 9 years, allows unprivileged local users to gain root privileges via a 4-byte controlled write exploit. It affects all Linux versions released since 2017, with patches available in versions 7.0, 6.19.12, and 6.18.22.
OpenAI推出進階帳號安全機制,為ChatGPT與Codex導入實體金鑰登入並支援用戶退出模型訓練
OpenAI於4月30日宣布推出「進階帳號安全」機制,為ChatGPT與Codex用戶提供實體金鑰登入、縮短登入執行階段及自動退出模型訓練等功能。同時,OpenAI執行長Sam Altman宣布即將向關鍵安全夥伴開放專為資安設計的GPT-5.5-Cyber模型。此舉亦伴隨OpenAI與Anthropic之間的公開競爭言論。