Origine : bjCSIRT
Numéro : 2026/ALERTE/022
APERÇU :
Une vulnérabilité critique affectant cPanel & WHM permettrait à un acteur malveillant non authentifié d’obtenir un accès non autorisé à l’interface d’administration des systèmes affectés.
DESCRIPTION
cPanel & WHM est une plateforme de gestion d’hébergement web fournissant des interfaces centralisées pour l’administration des serveurs et l’hébergement de sites.
Ce produit est affecté par une vulnérabilité libellée CVE-2026-41940 résultant d’une absence de validation appropriée dans le flux de connexion. Cette vulnérabilité repose sur la manipulation du mécanisme de session (notamment via le cookie whostmgrsession) combinée à une injection de type CRLF. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’injecter des attributs de session arbitraires conduisant au contournement du processus d’authentification et ainsi, d’obtenir un accès non autorisé au sein des systèmes affectés.
Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS V3.1.
IMPACT
- Atteinte à la confidentialité, à l’intégrité et à la disponibilité des données ;
- Accès non autorisé ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
Les versions antérieures à 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 et 11.136.0.5 de cPanel & WHM.
MESURES À PRENDRE :
Mettre à jour cPanel & WHM vers sa dernière version stable en fonction de la branche utilisée.
RÉFÉRENCES :