Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В cPanel нашли дыру, позволяющую войти в админку миллионов сайтов без пароля

Злоумышленники активно эксплуатируют критическую уязвимость CVE-2026-41940 в cPanel и WebHost Manager (WHM) — серверном ПО для управления веб-хостингом, которым пользуются десятки миллионов владельцев сайтов по всему миру. Ошибка позволяет удалённо обойти экран авторизации и получить полный доступ к панели администрирования, а вместе с ней — ко всем сайтам, почте, базам данных и конфигурациям на сервере. Крупные хостинг-провайдеры уже установили обновления.

 Источник изображения: Wesley Tingey / unsplash.com

Источник изображения: Wesley Tingey / unsplash.com

Уязвимость затрагивает все поддерживаемые версии cPanel и WHM. Оба пакета обеспечивают глубокий доступ к серверам: управляют размещёнными сайтами, электронной почтой и критически важными настройками доменов. Компрометация такого ПО даёт атакующему потенциально неограниченный доступ ко всем обрабатываемым данным. Разработчик cPanel призвал клиентов самостоятельно убедиться в установке обновлений, даже если их хостинг-провайдер уже применил исправления.

Канадский центр кибербезопасности (Canadian Centre for Cyber Security) предупредил в бюллетене, что уязвимость позволяет скомпрометировать сайты на серверах общего хостинга, в том числе у крупных провайдеров. Ведомство заявило, что «эксплуатация весьма вероятна», и потребовало от клиентов cPanel и их хостинг-провайдеров незамедлительных действий для предотвращения несанкционированного доступа.

Хостинг-провайдер Namecheap сообщил, что заблокировал доступ к панелям cPanel сразу после того, как узнал об уязвимости, — мера позволила предотвратить эксплуатацию и выиграть время на установку обновлений. HostGator также установил обновления и охарактеризовал проблему как «критическую уязвимость обхода аутентификации».

Один из хостинг-провайдеров обнаружил, что злоумышленники использовали уязвимость за несколько месяцев до её публичного раскрытия. Генеральный директор KnownHost Дэниел Пирсон (Daniel Pearson) написал на Reddit, что компания зафиксировала попытки эксплуатации ещё 23 февраля. KnownHost тоже ненадолго заблокировал доступ к клиентским системам перед установкой обновлений.

По словам Пирсона, примерно 30 серверов в сети компании сигнализировали о попытках несанкционированного доступа. Пирсон подчеркнул, что речь идёт именно о попытках, а признаков успешного взлома обнаружено не было. Разработчик cPanel также выпустил обновление безопасности для WP Squared — аналогичного инструмента для управления сайтами на WordPress.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
ФБР и Google обезвредили ботнет, в котором работали 2 миллиона смарт-телевизоров 36 мин.
Долой пересветы и тусклые цвета: Google сделает HDR-видео одинаково красивым на разных Android-смартфонах 38 мин.
Apple проиграла суд и не смогла отделаться от статуса «привратника» в Европе 39 мин.
У ИИ-агента GitHub нашлась способность передавать данные из закрытых репозиториев 41 мин.
Китайские специалисты заявили, что нашли в Claude Code скрытую передачу данных пользователей 42 мин.
Meta показала детектор её собственного ИИ-контента 49 мин.
Мониторы LG и Alienware уличили в установке ПО с назойливой рекламой для Windows 3 ч.
Завтра мощнейшие ИИ-модели GPT-5.6 станут доступны для всех — власти США сняли запрет 3 ч.
Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 4 ч.
За два с половиной года раннего доступа в симулятор «покемонов с пушками» Palworld сыграло 40 миллионов человек 5 ч.
Тысяча долларов за литр: Asus выпустила игровой мини-ПК ROG GR70 с Ryzen 9 9955HX3D и RTX 5070 45 мин.
Tesla пустит стартапы на свой завод в Берлине, чтобы они улучшили её аккумуляторы 51 мин.
Patriot выпустила двухканальные комплекты памяти Viper Steel 5 Infinite DDR5-8000 ёмкостью до 96 Гбайт 54 мин.
NASA успешно разбудило зонд New Horizons после самой долгой спячки в истории 56 мин.
Слишком далеко, дорого и долго: эксперты раскритиковали мегапроект SK hynix и Samsung по строительству заводов памяти 2 ч.
Созданный для питания ИИ малый атомный реактор впервые вышел на самоподдерживающуюся реакцию 2 ч.
Скрытая съёмка запрещена: очки Meta перестанут записывать видео, если повреждён индикатор съёмки 2 ч.
ИИ-модели Perplexity заработают на центральных процессорах Nvidia Vera 2 ч.
Meta тестирует «сверхчувствительные» умные очки — они будут постоянно записывать видео и аудио 2 ч.
Amazon выпустила облигации на $25 млрд, чтобы покрыть затраты на ИИ-инфраструктуру 3 ч.