Cpanel

Uma vulnerabilidade de segurança de alta severidade, identificada como CVE-2026-48172, está afetando o plugin LiteSpeed User-End cPanel e já está sendo explorada ativamente. Com uma pontuação CVSS de 10.0, a falha se relaciona a uma atribuição incorreta de privilégios, permitindo que um atacante execute scripts arbitrários com permissões elevadas. Qualquer usuário do cPanel, incluindo contas comprometidas, pode explorar a função lsws.redisAble para executar scripts como root. A vulnerabilidade afeta todas as versões do plugin entre 2.3 e 2.4.4, enquanto o plugin WHM do LiteSpeed não é impactado. A LiteSpeed já lançou a versão 2.4.5 para corrigir a falha e recomenda que os usuários atualizem para a versão 5.3.1.0 do plugin WHM, que inclui a versão 2.4.7 do plugin cPanel. Caso a atualização não seja viável, é sugerido desinstalar o plugin do usuário final. A situação é preocupante, especialmente após a recente descoberta de outra vulnerabilidade crítica no cPanel, que também estava sendo explorada por atores maliciosos.

Um ator de ameaças identificado como Mr_Rot13 está explorando uma vulnerabilidade crítica no cPanel, conhecida como CVE-2026-41940, que permite a bypass de autenticação e controle remoto do painel de controle. Após a divulgação pública da falha, mais de 2.000 IPs de atacantes em todo o mundo, incluindo Brasil, foram identificados realizando ataques automatizados. A exploração envolve o uso de um script que baixa um infector baseado em Go, que implantam uma chave SSH para acesso persistente e um shell PHP para execução remota de comandos. O shell é utilizado para injetar código JavaScript que redireciona usuários para uma página de login falsa, coletando credenciais que são enviadas para um sistema controlado pelo atacante. O backdoor, denominado Filemanager, é capaz de infectar sistemas Windows, macOS e Linux, e coleta informações sensíveis do host comprometido. A operação parece ter sido realizada de forma discreta por anos, com baixa taxa de detecção em produtos de segurança. A situação exige atenção urgente das empresas que utilizam cPanel e WHM.

O cPanel anunciou a liberação de atualizações para corrigir três vulnerabilidades significativas em seu software e no Web Host Manager (WHM). As falhas, identificadas como CVE-2026-29201, CVE-2026-29202 e CVE-2026-29203, podem ser exploradas para escalonamento de privilégios, execução de código e negação de serviço. A primeira vulnerabilidade (CVE-2026-29201) apresenta uma pontuação CVSS de 4.3 e envolve uma validação insuficiente de entrada, permitindo a leitura de arquivos arbitrários. As outras duas falhas (CVE-2026-29202 e CVE-2026-29203) têm uma pontuação CVSS de 8.8 e permitem a execução de código Perl arbitrário e a manipulação de permissões de arquivos, respectivamente, o que pode levar a negação de serviço ou escalonamento de privilégios. As versões afetadas incluem cPanel e WHM a partir de 11.136.0.9 e outras versões anteriores. Embora não haja evidências de exploração ativa, a divulgação ocorre após a identificação de outra falha crítica que foi utilizada por agentes de ameaças. Os usuários são aconselhados a atualizar para as versões mais recentes para garantir a proteção adequada.

Um novo ator de ameaças foi identificado atacando entidades governamentais e militares no Sudeste Asiático, além de provedores de serviços gerenciados (MSPs) e provedores de hospedagem em países como Filipinas, Laos, Canadá, África do Sul e EUA. A exploração da vulnerabilidade CVE-2026-41940, uma falha crítica no cPanel e WebHost Manager (WHM), permite que atacantes remotos contornem autenticações e obtenham controle elevado do painel de controle. As atividades foram detectadas em 2 de maio de 2026, com foco em domínios governamentais das Filipinas e Laos. Além disso, o ator utilizou uma cadeia de exploração personalizada em um portal de treinamento do setor de defesa da Indonésia, combinando injeção SQL autenticada e execução remota de código. O acesso persistente foi facilitado por ferramentas como OpenVPN e Ligolo, permitindo a exfiltração de documentos do setor ferroviário da China. A vulnerabilidade cPanel está sendo explorada por múltiplos terceiros, com pelo menos 44.000 IPs comprometidos realizando ataques de força bruta. A situação exige atenção, pois a exploração pode impactar a conformidade com a LGPD no Brasil.

Uma nova vulnerabilidade no cPanel, identificada como CVE-2026-41940, está sendo amplamente explorada em ataques de ransomware conhecidos como ‘Sorry’. Recentemente, uma atualização de emergência foi lançada para corrigir uma falha crítica de bypass de autenticação que permite que atacantes acessem painéis de controle. O cPanel e o WHM são painéis de controle de hospedagem web baseados em Linux, sendo o WHM responsável pelo controle do servidor e o cPanel pelo acesso ao backend do site. Desde o final de fevereiro, tentativas de exploração dessa falha têm sido registradas, e a Shadowserver reportou que pelo menos 44.000 endereços IP executando cPanel foram comprometidos. Os hackers estão utilizando um criptografador Linux baseado em Go para implementar o ransomware ‘Sorry’, que adiciona a extensão ‘.sorry’ a todos os arquivos criptografados. O ransomware utiliza o cifrador de fluxo ChaCha20 e a chave de criptografia é protegida por uma chave pública RSA-2048. Para reverter a criptografia, é necessário obter a chave privada correspondente. Os usuários do cPanel e WHM são aconselhados a instalar as atualizações de segurança imediatamente para proteger seus sites contra esses ataques e roubo de dados.

A vulnerabilidade crítica CVE-2026-41940, que permite o bypass de autenticação em cPanel, WHM e WP Squared, está sendo ativamente explorada desde o final de fevereiro de 2026. A falha, identificada como uma injeção de Carriage Return Line Feed (CRLF) nos processos de login e carregamento de sessão, permite que atacantes acessem sistemas sem a validação adequada da senha. A empresa KnownHost, que utiliza cPanel, relatou tentativas de exploração já no dia da divulgação da vulnerabilidade. Em resposta, a cPanel lançou um patch em 28 de abril, após pressão de provedores de hospedagem. A vulnerabilidade afeta versões do cPanel a partir da 11.40 e também impacta o WP Squared. A Rapid7 estima que cerca de 1,5 milhão de instâncias do cPanel estão expostas online, embora não haja dados sobre quantas são vulneráveis. Para mitigar riscos, recomenda-se bloquear o acesso externo a portas específicas e reiniciar serviços após a aplicação das correções. A situação é crítica, pois a exploração bem-sucedida pode conceder controle total sobre o sistema cPanel e os sites gerenciados.

Uma vulnerabilidade crítica foi identificada no cPanel e no WebHost Manager (WHM), afetando quase todas as versões, exceto as mais recentes. Essa falha de segurança permite que atacantes obtenham acesso ao painel de controle sem autenticação. A empresa responsável, WebPros International, lançou uma atualização de emergência que exige que os administradores executem manualmente um comando para aplicar o patch. O WHM oferece controle a nível de servidor, enquanto o cPanel permite acesso ao backend do site, webmail e bancos de dados. A gravidade da vulnerabilidade levou a Namecheap a bloquear temporariamente o acesso às portas 2083 e 2087, utilizadas por esses serviços, para proteger seus clientes. Embora detalhes técnicos não tenham sido divulgados, a falha é considerada significativa, pois um invasor com acesso ao cPanel pode controlar todos os aspectos da conta de hospedagem, incluindo sites, dados e e-mails. Os administradores devem atualizar para as versões corrigidas o mais rápido possível, pois versões não suportadas não receberão atualizações de segurança.

O cPanel lançou atualizações de segurança para corrigir uma vulnerabilidade que afeta diversos caminhos de autenticação, permitindo que atacantes possam obter acesso não autorizado ao software do painel de controle. Essa falha impacta todas as versões atualmente suportadas do cPanel. As versões corrigidas incluem 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29 e 11.134.0.20. A empresa Namecheap, que fornece serviços de hospedagem e registro de domínios, revelou que a vulnerabilidade está relacionada a um exploit de login que pode permitir acesso não autorizado ao painel de controle. Como medida de precaução, a Namecheap implementou uma regra de firewall para bloquear o acesso às portas TCP 2083 e 2087, restringindo temporariamente o acesso dos clientes às interfaces do cPanel e WHM até que um patch completo seja aplicado. A equipe da Namecheap está monitorando a situação e aplicará o patch oficial em todos os servidores suportados assim que estiver disponível. Até o momento, a correção foi aplicada em servidores Reseller e Stellar Business.

Um novo estudo revela que atores de ameaças estão comercializando abertamente o acesso a sites hackeados, com foco especial nas credenciais comprometidas do cPanel. O cPanel, um painel de controle amplamente utilizado para hospedagem de sites, permite que atacantes realizem uma série de atividades maliciosas, como implantar backdoors, criar novos usuários administrativos e disseminar campanhas de phishing. A pesquisa da Flare analisou mais de 200 mil postagens em grupos fraudulentos ao longo de uma semana, revelando um ecossistema estruturado que opera em larga escala. Os atacantes frequentemente obtêm acesso por meio de credenciais roubadas ou explorando vulnerabilidades em aplicações web. A venda de cPanels comprometidos é altamente commoditizada, com preços variando conforme a qualidade e a reputação da infraestrutura. A falta de autenticação multifatorial e senhas fracas são fatores que contribuem para a vulnerabilidade. Para mitigar esses riscos, as organizações devem implementar medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo de atividades suspeitas.