cPanelSniper PoC pojačava rizik od masovne kompromitacije servera
Objavljen je weaponized proof-of-concept framework cPanelSniper za zloupotrebu kritične ranjivosti CVE-2026-41940 u cPanel i WebHost Manager softveru. Propust omogućava neautentifikovanom udaljenom napadaču da zaobiđe login proces i dobije root-level kontrolu nad pogođenim serverom bez važećih kredencijala. Problem je u obradi session podataka, gde se kroz HTTP Authorization header mogu ubaciti carriage return i line feed karakteri koji završavaju u session fajlu pre sanitizacije. Prema tekstu, Shadowserver Foundation je upozorio da je najmanje 44.000 jedinstvenih IP adresa već kompromitovano i aktivno skenira honeypot sisteme.
Kod hosting infrastrukture ovakav propust ima veliku težinu jer jedan kompromitovan cPanel ili WHM server može značiti pristup velikom broju sajtova, naloga, baza i email okruženja. Pošto napad zaobilazi autentifikaciju, jake lozinke i MFA ne rešavaju problem ako sam server nije zakrpljen i proveren.
- Odmah ažurirati cPanel i WHM na vendor verzije koje ispravljaju CVE-2026-41940
- Proveriti session direktorijume i logove za neuobičajene session zapise i CRLF payload tragove
- Rotirati administratorske, root, reseller i hosting kredencijale na sistemima koji su mogli biti pogođeni
- Pregledati servere za nove nepoznate naloge, web shell fajlove, cron izmene i druge oblike persistence-a
- Ograničiti pristup cPanel i WHM interfejsima preko firewall pravila, VPN-a ili dozvoljenih administrativnih IP adresa