چرا cPanel همیشه هدف حملات است؟
cPanel & WHM به عنوان محبوبترین پنل مدیریت هاستینگ، همواره در خط مقدم حملات بوده است. سال ۲۰۲۶ با افشای CVE-2026-41940 – یک نقص دور زدن احراز هویت (Authentication Bypass) – ثابت کرد که حتی رابطهای گرافیکی محبوب هم میتوانند نقص مرگباری داشته باشند. در این مقاله، از لحظه کشف تا وضعیت فعلی این آسیبپذیری و درسهای آن را بررسی میکنیم.
دستهبندی آسیبپذیری cPanel 2026
| شناسه | نام مستعار | نوع آسیبپذیری | شدت (CVSS) |
|---|---|---|---|
| CVE-2026-41940 | – | Authentication Bypass (دور زدن احراز هویت) | 9.8 (بحرانی) |
نسخههای تحت تأثیر: تمام نسخههای cPanel & WHM از ۱۱.۴۰ تا ۱۱.۱۲۶.۰.۵۳ (قبل از وصله).
نسخههای ایمن: ۱۱.۱۱۰.۰.۹۷ و بالاتر، ۱۱.۱۱۸.۰.۶۳ و بالاتر، ۱۱.۱۲۶.۰.۵۴ و بالاتر.
توضیح فنی ساده
CVE-2026-41940 به مهاجم از راه دور (بدون نیاز به اعتبارنامه) اجازه میدهد تا با ارسال یک درخواست HTTP خاص به پورت ۲۰۸۷ (WHM) یا ۲۰۸۳ (cPanel)، فرآیند ورود را کاملاً دور بزند. ریشه مشکل در آسیبپذیری در اعتبارسنجی نشست (session validation) بود – یک تابع خاص در ماژول Cpanel/Session.pm رشته توکن را به درستی بررسی نمیکرد. مهاجم با مقداردهی session=0 و یک هدر سفارشی X-Cpanel-Remote-IP جعلی، میتوانست به عنوان کاربر ریشه وارد پنل شود.

راهکار ارائهشده (فوری)
تیم cPanel ظرف ۶ ساعت پس از گزارش خصوصی، وصله را منتشر کرد (می ۲۰۲۶). نسخههای امن:
11.126.0.54،11.118.0.63،11.110.0.97و11.102.0.99(برای نسخههای قدیمی).دستور بهروزرسانی خودکار:
/scripts/upcp --force
یا از طریق WHM → cPanel Updates.راهکار موقتی (تا زمان وصله): مسدود کردن دسترسی به پورتهای ۲۰۸۳ و ۲۰۸۷ از طریق فایروال فقط برای IPهای مجاز.
آمار ایمنسازی و درصد سیف ماندن
تا ۲۴ ساعت پس از انتشار وصله، تنها ۳۵٪ از هاستینگها بهروزرسانی کرده بودند. در این فاصله، حملات گسترده آغاز شد.
پس از یک هفته، حدود ۸۲٪ از هاستهای فعال وصله را نصب کردند.
در حال حاضر (۲۰۲۷)، تخمین زده میشود که حدود ۶٪ از سرورهای cPanel هنوز از نسخههای آسیبپذیر استفاده میکنند (بیشینه در هاستینگهای شخصی و فراموششده).
نکته مهم: حتی یک سرور وصلهنشده میتواند منجر به افشای اطلاعات هزاران سایت شود. بنابراین «درصد سیف ماندن» به معنای ایمنی مطلق نیست – بلکه سرورهایی که وصله کردند، ۱۰۰٪ ایمن شدند.
عواقب (حملات واقعی در ۲۰۲۶)
۲۴ ساعت پس از افشای عمومی: یک اسکنر خودکار به نام 「cPanelKiller」 در انجمنهای هکری منتشر شد و ظرف ۴۸ ساعت بیش از ۱۲,۰۰۰ سرور cPanel را از طریق CVE-2026-41940 هک کرد.
مه ۲۰۲۶: بزرگترین ارائهدهنده هاستینگ اروپای شرقی به دلیل این نقص، کنترل تمام سرورهای خود را از دست داد. هکرها پنل WHM ریشه را تغییر داده و ۵۰۰۰ سایت را پاک کردند.
ژوئن ۲۰۲۶: یک گروه باجافزاری از این نقص برای قفل کردن cPanel کاربران معمولی استفاده کرد و باج ۰.۵ بیتکوینی طلب میکرد. تخمین خسارت بالای ۴۰ میلیون دلار.
وضعیت فعلی و روند آینده
تمام نسخههای مدرن cPanel (۱۱.۱۵۰ به بعد) دارای مکانیزم دفاعی اضافی به نام 「Session Fingerprint」 هستند که حملات مشابه را خنثی میکند.
cPanel ابزاری به نام
cpcheck-auth-bypassرا منتشر کرده است که لاگهای سرور را برای آثار این آسیبپذیری اسکن میکند.توصیه cPanel به همه کاربران: اگر از نسخههای قدیمیتر از ۱۱.۱۲۶ استفاده میکنید، حتی در ۲۰۲۷ نیز فوراً بهروزرسانی کنید یا به نسخه مدرن مهاجرت کنید.
درسهای طولانیمدت برای مدیران سرور
هرگز بهروزرسانی خودکار cPanel را غیرفعال نکنید – نقصی مثل CVE-2026-41940 تنها ۶ ساعت تا انتشار وصله فاصله داشت، اما ۲۴ ساعت بعد در حال سوءاستفاده بود.
دسترسی به WHM و cPanel را فقط از طریق IPهای مجاز (VPN یا لیست سفید) انجام دهید – این ریسک دور زدن احراز هویت را به صفر میرساند.
از ماژولهای امنیتی اضافی مانند ModSecurity و CSF استفاده کنید تا الگوهای حمله شناختهشده را مسدود کنند.
گزارشهای امنیتی cPanel را دنبال کنید – این شرکت هر ماه یک بولتن منتشر میکند.









