Une faille de connexion laisse 70 millions de sites cPanel ouverts à n’importe qui

Une faille critique de contournement d’authentification dans cPanel et WHM permettait à des attaquants de franchir la porte d’entrée de n’importe quel panneau de contrôle exposé à internet, sans identifiant ni mot de passe. La vulnérabilité, référencée CVE-2026-41940 avec un score CVSS de 9,8 sur 10, touche toutes les versions supportées du logiciel, qui gère environ 70 millions de domaines à travers le monde. Les chercheurs en sécurité confirment que des exploits actifs circulaient déjà au moment où le correctif d’urgence est sorti — pour beaucoup d’hébergeurs, la question n’est plus de savoir si leurs serveurs étaient vulnérables, mais s’ils ont été compromis avant que la mise à jour puisse être appliquée.

La faille réside dans la logique de chargement et d’enregistrement des sessions de cPanel, suivie en interne sous la référence CPANEL-52908. Concrètement, un attaquant pouvait envoyer une requête de connexion malformée et recevoir des identifiants de session valides pour un compte auprès duquel il ne s’était jamais authentifié — y compris, dans le pire des cas, un accès root à WHM, le tableau de bord serveur qui contrôle les comptes d’hébergement, le routage des e-mails, les certificats SSL et les bases de données. Six branches de versions devaient être patchées en urgence : 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 et 11.136.0.5. Les serveurs qui font encore tourner des versions de cPanel hors support ne recevront aucun correctif et doivent être considérés comme activement compromis.

cPanel est la couche standard de panneau de contrôle pour l’infrastructure d’hébergement mutualisé qui sous-tend une grande partie du web grand public. Une intrusion réussie sur un seul serveur cPanel peut se propager à des milliers de sites en aval — tous les domaines hébergés sur cette machine, plus leur messagerie, leurs bases de données et leurs fichiers clients. L’équipe de recherche watchTowr Labs a décrit les systèmes touchés comme le plan de gestion d’une partie significative d’internet, et un hébergeur, KnownHost, a confirmé que l’exploitation était déjà en cours avant la publication de toute alerte.

Vous pourriez aussi aimerHexstrike-AI : L’Aube de l’Exploitation Autonome des Vulnérabilités Zero-Day

Namecheap, l’un des plus gros revendeurs sur la plateforme, a pris la mesure inhabituelle de bloquer temporairement l’accès aux ports 2083 et 2087 — les portes web de cPanel et WHM — pour tous ses clients pendant le déploiement du correctif. Quand la mise à jour a atteint les flottes Reseller et Stellar Business de l’entreprise, la plateforme était effectivement coupée du monde extérieur depuis plusieurs heures. D’autres grands hébergeurs ont publié des avis similaires, recommandant à leurs clients d’exécuter /scripts/upcp –force en root pour forcer la mise à jour au lieu d’attendre la fenêtre automatique de maintenance.

L’alerte mérite quelques nuances. cPanel n’a pas publié de détails techniques approfondis sur la vulnérabilité — l’essentiel de l’analyse publique vient de chercheurs externes ayant fait de l’ingénierie inverse sur le correctif, ce qui veut dire que les conditions exactes d’exploitation restent partiellement opaques. Le chiffre de 70 millions de domaines est une estimation ancienne issue du propre matériel marketing de cPanel et inclut les comptes d’hébergement mutualisé où un même serveur gère des milliers de sites ; le nombre réel de serveurs uniques touchés est nettement plus faible. Et même si l’exploitation est confirmée avant le patch, aucune brèche publique majeure attribuée à cette CVE n’a encore été révélée — cela peut évoluer dans les semaines à venir avec la clôture des investigations forensiques, ou pas.

L’épisode s’inscrit dans un schéma que les chercheurs en sécurité signalent depuis des années : la couche de gestion de l’hébergement grand public est l’une des cibles à la fois les plus valorisées et les moins surveillées d’internet. Un défaut dans un seul composant de panneau de contrôle peut livrer à un attaquant les clés de milliers de petits sites peu protégés en même temps, sans chaîne d’exploitation exotique. Les bugs de contournement d’authentification dans les logiciels de la classe de cPanel se monnaient cher sur les marchés clandestins, et l’écart entre la divulgation et la couverture complète des correctifs se mesure en semaines pour les serveurs indépendants non managés — bien après que le cycle public de l’actualité soit passé à autre chose.

cPanel a publié les correctifs d’urgence le 28 avril, et Namecheap ainsi que d’autres grands hébergeurs ont terminé leurs déploiements aux premières heures du 29 avril. Les administrateurs de serveurs cPanel ou WHM doivent vérifier immédiatement qu’ils sont sur l’un des builds patchés et considérer comme potentiellement compromis tout serveur ayant tourné en version vulnérable et exposé à internet dans les jours précédents. cPanel ne s’est engagé à aucun rapport public post-incident.

Plus comme ceci

Embarquez dans l’univers de Monster High avec MATTEL et OUTRIGHT GAMES

L’Opération Nouvel An de Bleach: Brave Souls démarre le 31 décembre !

DJI lance l’Osmo Pocket 4 dans le monde entier — sauf aux États-Unis, bloquée par la réglementation

« A Twisted Path to Renown », le Nouveau FPS de Survie, Lance son Accès Anticipé sur Steam

L’attachement au téléphone portable : le défi de poser le téléphone

Comment l’impression 3D a-t-elle changé le monde ?