cPanel a avut o vulnerabilitate critica de autentificare. Exploatari fusesera deja vazute in salbaticie

cPanel a publicat pe 28 aprilie 2026 un avertisment de securitate despre o vulnerabilitate critica de autentificare in cPanel si WHM care afecta aproape toate versiunile cunoscute, inclusiv pe cele end-of-life. Bug-ul permitea ocolirea autentificarii la nivel de login, ceea ce inseamna ca un atacator putea ajunge in interfata WHM sau cPanel fara credentiale valide. KnownHost a confirmat ca «exploatari de succes au fost vazute in salbaticie» inainte ca patch-ul sa fie publicat. cPanel a descris incidentul drept o «problema la nivel de industrie».

In cateva ore de la publicarea avertismentului, hosterii din toata lumea au scos accesul cPanel si WHM offline. hosting.com, Namecheap, KnownHost, HostPapa si InMotion Hosting au blocat porturile cPanel la nivel de retea, in asteptarea patch-ului. cPanel a publicat fix-ul la aproximativ 2-3 ore dupa avertisment. Deployment-ul complet la marii hosteri a durat 6-7 ore. Pana la momentul publicarii articolului original, niciun CVE public nu fusese atribuit acestei vulnerabilitati.

Despre vulnerabilitate

Avertismentul oficial cPanel descrie o vulnerabilitate critica in autentificarea cPanel si WHM. Mecanismul tehnic exact nu a fost detaliat public de cPanel. Pe baza comunicarilor de la hosteri si discutiilor din comunitate, bug-ul a actionat la nivelul stratului de autentificare al panoului de control si a permis acces neautorizat fara parola valida. KnownHost a descris-o drept «un bug de tip zero-day de autentificare/escaladare de privilegii care afecteaza aproape toate versiunile cPanel cunoscute, atat end-of-life cat si suportate».

Hosterii au blocat urmatoarele porturi ca masura de urgenta:

• 2082 si 2083 — cPanel HTTP / HTTPS
• 2086 si 2087 — WHM HTTP / HTTPS
• 2095 si 2096 — Webmail
• 2077 si 2078 — WebDisk

Site-urile, aplicatiile, bazele de date si email-ul au continuat sa functioneze normal pe parcursul incidentului. Doar accesul la cPanel a fost suprafata de atac vizata.

Cum s-a desfasurat ziua

KnownHost a fost printre primii care au reactionat, anuntand vulnerabilitatea si implementand blocaje de retea la nivel global la ora 14:39 ora locala pe 28 aprilie. Scope-ul a fost extins in urmatoarea ora cand porturile webmail si WebDisk au fost adaugate la lista de blocare. hosting.com a scos cPanel si WHM offline pe toate serverele administrate si a extins restrictiile la webmail, blocand accesul la nivel de retea. Postarea companiei pe LinkedIn a confirmat ca actiunea a fost luata pe baza comunicarii directe de la cPanel despre vulnerabilitate.

Namecheap a postat primul update de status public la 15:37 EDT si a inceput mentenanta la 15:45 EDT, blocand porturile TCP 2083 si 2087. cPanel a publicat patch-ul la aproximativ 17:10. Namecheap a confirmat disponibilitatea patch-ului la 18:35 EDT, cu o fereastra de deployment estimata la 2-3 ore. Pana la 22:42 EDT, Namecheap a confirmat ca toate serverele au fost patch-uite si serviciul a fost restabilit. KnownHost a redeschis porturile la 22:21, dupa ce majoritatea retelei sale fusese actualizata. HostPapa a finalizat serverele Shared si Reseller la 23:49 EST, cu serverele VPS finalizate la scurt timp dupa.

A fost raportata mai devreme?

O sursa din industrie care a contactat direct webhosting.today a declarat ca vulnerabilitatea fusese raportata catre cPanel cu aproximativ doua saptamani inainte de avertismentul public din 28 aprilie si ca raspunsul initial al cPanel ar fi fost ca «nu este nimic in neregula». Daca informatia este corecta, intervalul intre dezvaluirea privata si disponibilitatea patch-ului ridica intrebari serioase despre procesul de raspuns al cPanel la vulnerabilitati.

Comunicarile hosting.com despre incident au mentionat vulnerabilitatea drept «dezvaluita responsabil catre cPanel», ceea ce confirma ca dezvaluirea privata a precedat avertismentul public. Diferenta de timp intre dezvaluirea privata si disponibilitatea patch-ului si ce s-a intamplat in acea fereastra nu este abordata in nicio comunicare publica cPanel.

Reactiile hosterilor

hosting.com a fost printre cele mai transparente in comunicarile publice. Pe LinkedIn, compania a scris: «Mai devreme in aceasta seara, am scos cPanel si WHM offline pe toate serverele administrate, pe baza unor rapoarte de la cPanel despre o vulnerabilitate de securitate in software-ul lor. Am extins acum aceasta restrictie la webmail-ul online si am blocat accesul la nivel de retea.»

InMotion Hosting a descris-o drept «o vulnerabilitate critica de autentificare ce afecteaza toate versiunile cPanel si WHM suportate in prezent» si a inchis porturile cPanel si WHM, pastrand toate functionalitatile site-urilor, aplicatiilor, bazelor de date si email-ului. Login-ul la Account Management Panel al companiei a ramas nealterat pe parcursul incidentului.

Pentru clientii cu servere unmanaged, KnownHost a recomandat rularea manuala a script-ului /scripts/upcp prin SSH pentru aplicarea patch-ului cPanel.

Ce trebuie sa faca administratorii acum

Daca administrezi servere cPanel si nu ai confirmat inca aplicarea patch-ului, actiunea imediata este sa verifici ca instalarea cPanel ruleaza versiunea patch-uita publicata pe 28 aprilie. Update-ul este disponibil prin script-ul standard /scripts/upcp. Avand in vedere ca exploatari active au fost confirmate in salbaticie inainte ca patch-ul sa fie disponibil, orice server care a rulat o versiune nepatch-uita in fereastra de pe 28 aprilie ar trebui tratat drept potential compromis pana la finalizarea unei investigatii.

Verifica log-urile de acces ale serverului care acopera perioada inainte de implementarea blocajelor de port. Log-urile de autentificare pentru interfetele WHM si cPanel ar trebui auditate pentru tentative de acces si log-in-uri reusite care nu corespund unor utilizatori legitimi cunoscuti. Lipsa unui CVE inseamna ca scannerele automate de vulnerabilitati pot sa nu semnaleze acest incident — verificarea manuala este necesara.