شناسایی آسیب‌پذیری در cPanel and WHM

آسیب‌پذیری بحرانی با شناسه CVE-2026-41940 در محصولات cPanel و WHM شناسایی شده است که امکان دور زدن کامل احراز هویت (Authentication Bypass) را برای مهاجمان  فراهم می‌کند. این حفره امنیتی با شدت 9.8 (بحرانی) در سیستم CVSS v3.1 رتبه‌بندی شده است ، در نتیجه ضعف در مدیریت نشست (Session Handling) و اعتبارسنجی ناقص ورودی در فرآیند احراز هویت که به مهاجم اجازه می‌دهد بدون نیاز به نام کاربری و رمز عبور معتبر، به پنل مدیریتی دسترسی پیدا کند.

cPanel and WHM

cPanel و WHM یک بسته نرم‌افزاری برای مدیریت وب‌سایت‌ها هستند. cPanel ابزاری است که صاحبان وب‌سایت از آن برای ساخت و مدیریت سایت خود، ایجاد ایمیل و کارهای مشابه استفاده می‌کنند. WHM اما ابزار شرکت‌های هاستینگ است تا بتوانند برای مشتریان خود اکانت cPanel بسازند. این اکانت‌ها بسیار حیاتی هستند، چون اگر هکری به آنها دست پیدا کند، می‌تواند کنترل کامل وب‌سایت شما را به دست بگیرد.

سناریو حمله آسیب‌پذیری

در این آسیب‌پذیری، مهاجم با دستکاری کوکی نشست و ارسال درخواست حاوی هدر Authorization که شامل کاراکترهای CRLF (ترکیب دو کاراکتر Carriage Return و Line Feed به ترتیب با کدهای اسکی 13 و 10 که برای نشان دادن پایان یک خط و شروع خط جدید در پروتکل‌هایی مانند HTTP استفاده می‌شود) است، ساختار فایل نشست را دچار اختلال می‌کند.این کار باعث میشود که داده های نشست به جای یک مقدار یک پارچه به چندین خط مجزا تفکیک شود و درنتیجه بتوان مقادیر جعلی را درج کرد.

سپس مهاجم با تزریق مقادیری مثل user=root و hasroot=1 در فایل نشست، درخواست‌هایی ارسال می‌کند که باعث تحریک فرآیند بازپارسی (re-parse) می‌شوند. بازپارسی فرآیندی است که در آن سیستم، داده‌های ذخیره‌شده را دوباره می‌خواند و تفسیر می‌کند، بدون اینکه آن داده‌ها از ابتدا و به روش عادی (مثلاً از طریق ورود کاربر) ایجاد شده باشند. این درخواست‌ها خطایی مانند token_denied ایجاد می‌کنند و در نتیجه مقادیر تزریق‌شده به عنوان بخشی از نشست معتبر تفسیر می‌شوند. در نتیجه، سطح دسترسی نشست به سطح کاربر root ارتقاء می‌یابد.

بهره‌برداری فعال از این نقص به عنوان یک آسیب‌پذیری روز-صفر (Zero-Day) از ماه‌ها پیش از افشای عمومی و قرار گرفتن حدود 1.5 میلیون سرور در معرض خطر حملاتی از جمله باج‌افزار، سرقت داده‌های حساس دولتی و تشکیل بات‌نت‌های عظیم، این تهدید را به سطح یک بحران جهانی ارتقا می‌دهد. بهره‌برداری موفق از این ضعف می‌تواند منجر به تصرف کامل سرور، دسترسی به اطلاعات حساس، تغییر تنظیمات و اجرای دستورات مدیریتی گردد و تهدیدی جدی برای محرمانگی، یکپارچگی و دسترس‌پذیری اطلاعات محسوب می‌شود.

محصولات آسیب‌پذیر

تمامی نسخه‌های نرم‌افزار cPanel و WHM در بازه‌های زیر آسیب‌پذیر هستند:

• 11.110.0.0 – 11.110.0.96
• 11.118.0.0 – 11.118.0.62
• 11.126.0.0 – 11.126.0.53
• 11.132.0.0 – 11.132.0.28
• 11.134.0.0 – 11.134.0.19
• 11.136.0.0 – 11.136.0.4

توصیه های امنیتی برای رفع آسیب‌پذیری

توصیه می‌شود برای مقابله با این آسیب‌پذیری، cPanel و WHM با اجرای دستور /scripts/upcp –force به‌روزرسانی شده و با دستور /usr/local/cpanel/cpanel -V از اعمال وصله اطمینان حاصل شود. همزمان، دسترسی به پورت‌های مدیریتی 2083 (cPanel) و 2087 (WHM) باید از طریق فایروال محدود شده و فقط به آی‌پی‌های مجاز (Whitelist) یا از طریق VPN سازمانی مجاز گردد؛ همچنین دسترسی مستقیم از اینترنت عمومی به WHM باید به طور کامل مسدود شود. استفاده از دیواره آتش برنامه وب (WAF) برای شناسایی و مسدودسازی درخواست‌های مشکوک (به‌ویژه تغییرات غیرعادی در کوکی و هدر) ضروری است. در نهایت، فعال‌سازی احراز هویت چندمرحله‌ای (MFA) برای تمام حساب‌های مدیریتی و پایش مداوم لاگ‌های ورود برای شناسایی رفتارهای مشکوک، به عنوان لایه‌های دفاعی مکمل توصیه می‌شوند.