Kritická zraniteľnosť CVE-2026-41940 v cPanel & WHM umožňuje útočníkovi získať root prístup bez hesla. Záplaty sú dostupné — zistite, čo musíte urobiť okamžite.
Zraniteľnosť, ktorá otvára celý server bez hesla
V globálnej webhostingovej komunite sa šíri poplach. Kritická zraniteľnosť v cPanel & WHM softvéri, označená ako CVE-2026-41940, bola potvrdená ako aktívne zneužívaná útočníkmi — a situáciu ďalej komplikuje skutočnosť, že verejne dostupný proof-of-concept (PoC) exploit dramaticky znižuje bariéru vstupu pre akéhokoľvek útočníka. Oficiálne bezpečnostné upozornenie cPanel bolo zverejnené 28. apríla 2026 a v priebehu 48 hodín aktualizované viackrát — čo samo o sebe naznačuje rýchlosť, akou sa situácia vyvíja.
Čo útočník dokáže vykonať
zraniteľnosť sa nachádza v autentifikačnej vrstve cPanel & WHM, vrátane DNSOnly nasadení. Útok je možné realizovať v štyroch krokoch: útočník si vytvorí pred-autentifikačnú reláciu, injektuje CRLF payload na získanie platného session tokenu, rozšíri token do serverovej cache a nakoniec získa plný WHM root prístup — celý proces prebieha bez akýchkoľvek platných prihlasovacích údajov. Výsledkom je nekontrolovaný prístup nielen k jednému webu, ale k celému serverovému prostrediu vrátane všetkých domén, e-mailových účtov, databáz a súborových systémov.
Koho sa to týka
Zraniteľnosť postihuje všetky verzie cPanel & WHM po verzii 11.40 — čo predstavuje enormnú útočnú plochu, keďže cPanel je jedným z najrozšírenejších nástrojov správy webhostingu na svete. V praxi to znamená, že ohrození sú poskytovatelia webhostingu, majitelia VPS serverov, prevádzkovatelia e-shopov a akákoľvek organizácia, ktorá spravuje weby alebo e-mailové služby cez cPanel rozhranie. Viacerí globálni hostitelia už preventívne odpojili cPanel rozhrania od internetu.
Záplaty sú dostupné, nasadenie je bezodkladné
cPanel vydal núdzové záplaty pre viaceré verzie produktu. Administrátori by mali okamžite spustiť príkaz /scripts/upcp --force, overiť verziu a reštartovať službu cpsrvd. Pozor — servery s vypnutými automatickými aktualizáciami záplatu nedostanú automaticky a predstavujú najrizikovejšie systémy v akomkoľvek prostredí. Ak okamžité záplatovanie nie je možné, odporúča sa blokovať porty 2083, 2087, 2095 a 2096 na úrovni firewallu, prípadne dočasne zastaviť služby cpsrvd a cpdavd.
Čo to znamená pre prax
Kombinácia nulovej bariéry vstupu, potvrdeného aktívneho zneužívania a verejne dostupného exploitu robí z CVE-2026-41940 jednu z najnaliehavejších bezpečnostných udalostí tohto roka. Organizácie prevádzkujúce cPanel servery by mali prioritne nasadiť dostupné záplaty, skontrolovať prístupové logy na anomálie a overiť, či sú správcovské porty zbytočne vystavené do internetu. Servery s nepodporovanými verziami cPanel, pre ktoré záplata neexistuje, je potrebné považovať za kompromitované až do preukázania opaku.
Z pohľadu ochrany osobných údajov je dôležité pripomenúť, že úspešné zneužitie tejto zraniteľnosti môže mať za následok únik osobných údajov uložených na serveri — a teda aj povinnosť notifikácie Úradu na ochranu osobných údajov SR podľa GDPR.
