Kriittinen haavoittuvuus cPanel ja WHM -tuotteissa

cPanel ja WHM -tuotteissa on julkaistu kriittinen haavoittuvuus, jota hyödyntämällä autentikoimattoman hyökkääjän on mahdollista saada admin-/root-tason oikeudet hallintapaneeliin. Haavoittuvuuden hyväksikäyttöä on nähty Suomessa ja maailmalla. Päivitä haavoittuvat järjestelmät välittömästi.

Haavoittuvuuden yhteenveto

Haavoittuvuus: 9/2026
Vakavuus: Kriittinen (CVSS 9.8)
Kohde: cPanel WHM 110.0.x - 136.0.x
Vaikutus: Mahdollistaa autentikoimattomalle hyökkääjälle pääkäyttäjätason oikeudet palvelimelle.
Korjaustoimet: Asenna päivitys välittömästi

CVE-2026-41940 (nist.gov, englanti)

Haavoittuvuuden kohde

Haavoittuvuus koskee kaikkia 11.40 uudempia versioita Cpanel-ohjelmistosta mukaan lukien DNSOnly.

Mistä on kysymys?

cPanel ja WHM -tuotteissa oleva kriittinen haavoittuvuus mahdollistaa autentikoimattomalle hyökkääjälle pääkäyttäjä-tason oikeudet palvelimelle. Tätä kautta hyökkääjällä on mahdollisuus muuttaa verkkosivujen sisältöä sekä konfiguraatioita, ajaa verkkosivut kokonaan alas sekä päästä käsiksi tietokantoihin.

Mitä voin tehdä?

Valmistaja on julkaissut korjaavat päivitykset. Korjaavien päivitysten asentaminen on syytä tehdä välittömästi.

cPanel & WHM 110.0.x - päivitä versioon 11.110.0.97
cPanel & WHM 118.0.x - päivitä versioon 11.118.0.63
cPanel & WHM 126.0.x - päivitä versioon 11.126.0.54
cPanel & WHM 132.0.x - päivitä versioon 11.132.0.29
cPanel & WHM 134.0.x - päivitä versioon 11.134.0.20
cPanel & WHM 136.0.x - päivitä versioon 11.136.0.5

cPanelin tiedote (cpanel.net, englanti)

Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026 (cpanel.net, englanti)

The Internet Is Falling Down, Falling Down, Falling Down (cPanel & WHM Authentication Bypass CVE-2026-41940) (watchtowr.com, englanti)