top of page
Rechercher

Faille critique dans cPanel & WHM — Bypass d'authentification et compromission totale

  • Photo du rédacteur: Loïc Castel
    Loïc Castel
  • il y a 2 jours
  • 3 min de lecture

cPanel & WHM, la solution de gestion d'hébergement web leader sur le marché, est affectée par une vulnérabilité critique (CVE-2026-41940) permettant à un attaquant non authentifié de contourner complètement les mécanismes de sécurité et d'obtenir un accès administrateur (root).


Une interface WHM (Web Host Manager) 
Une interface WHM (Web Host Manager) 

Découverte initialement par les équipes de watchTowr Labs, cette faille d'injection CRLF met potentiellement en péril plus de 70 millions de domaines à travers le monde.


Si vous ne connaissez pas ces solutions, WHM est l'interface d'administration — accès de niveau root au serveur, certificats SSL, protocoles de sécurité, la totale — et cPanel est le panneau destiné aux utilisateurs pour les comptes d'hébergement individuels.


Des tentatives d'exploitation « in the wild » ont déjà été confirmées (notamment rapportées par KnownHost), ce qui impose une réaction immédiate des administrateurs d'infrastructures.


Détails de la vulnérabilité (CVE-2026-41940)

La vulnérabilité réside dans une mauvaise gestion des retours à la ligne lors du traitement des sessions par cPanel. Elle permet une injection CRLF (Carriage Return Line Feed) directement dans le processus de gestion d'authentification de l'interface.


Le mécanisme d'attaque repose sur un détournement astucieux :

  1. Initialisation d'une session : L'attaquant force une tentative de connexion échouée pour générer un jeton de session valide (mais non authentifié).

  2. Manipulation des en-têtes : Il soumet ensuite un en-tête Authorization: Basic spécifiquement forgé, intégrant des caractères d'échappement (retour à la ligne).

  3. Altération de la session : En tronquant la variable de session (suppression de <obhex>), l'attaquant contourne le système d'encodage.


Exploitation et Impact

Une fois l'injection réussie, l'attaquant peut forcer l'élévation de privilèges en injectant ses propres flags dans la configuration de la session traitée par le serveur.

Voici à quoi ressemble l'impact technique au sein de la charge utile :



Cette simple manipulation entraîne une compromission totale du système, car elle permet à l'attaquant de valider trois étapes critiques simultanément :

  • Le bypass de l'authentification par mot de passe.

  • Le contournement de la validation de l'authentification multifacteur (MFA / 2FA) via le flag tfa_verified=1.

  • L'octroi des permissions maximales via le flag hasroot=1.


Correctifs et Remédiation

L'éditeur a publié des correctifs urgents. La compromission pouvant se produire en quelques heures étant donné que les attaquant ont juste besoin d'un simple script, il est impératif de mettre à jour immédiatement toutes les instances exposées.


Vérifiez votre version actuelle :

# On récupère la version utilisée de cPanel
cat /usr/local/cpanel/version

Versions corrigées à déployer selon votre branche :

  • cPanel & WHM 110.0.x → passer à la 11.110.0.97

  • cPanel & WHM 118.0.x → passer à la 11.118.0.63

  • cPanel & WHM 126.0.x → passer à la 11.126.0.54

  • cPanel & WHM 132.0.x → passer à la 11.132.0.29

  • cPanel & WHM 134.0.x → passer à la 11.134.0.20

  • cPanel & WHM 136.0.x → passer à la 11.136.0.5


Détection et Indicateurs de compromission (IoC)

Outre le patch, il est recommandé de mener des investigations sur vos serveurs pour s'assurer qu'aucune brèche n'a été exploitée avant la mise à jour.

  • Analyse des logs : Surveillez les accès inhabituels, particulièrement les connexions root ne provenant pas de vos adresses IP d'administration de confiance.

  • Outil de détection : L'équipe de watchTowr Labs a mis à disposition un script Python générateur d'artefacts permettant de tester et d'identifier rapidement les hôtes toujours vulnérables sur votre réseau.


L'approche Safercy

Cette faille souligne, s'il le fallait encore, la criticité des surfaces d'exposition web et la rapidité avec laquelle un PoC peut être militarisé (4 à 6 heures en moyenne pour les failles d'hébergement en 2026).


Chez Safercy, notre plateforme SaferScan (Pentest-as-a-Service) intègre d'ores et déjà les vérifications nécessaires pour cette CVE. Nos équipes Red Team et SOC sont mobilisées pour accompagner nos clients dans la détection d'exploits zero-day et la validation de l'étanchéité de leurs architectures d'hébergement.

Une question sur votre exposition à cette CVE ou besoin d'assistance dans vos investigations ? Nos experts en réponse à incident se tiennent à votre disposition. Contactez-nous en cas de suspicion de compromission.

 
 
bottom of page