Uma falha de login deixou 70 milhões de sites cPanel abertos a qualquer um

Uma falha crítica de bypass de autenticação no cPanel e no WHM permitia que invasores entrassem pela porta da frente de qualquer painel de controle exposto à internet sem precisar de usuário ou senha. A vulnerabilidade, registrada como CVE-2026-41940 com pontuação CVSS de 9,8 em 10, atinge todas as versões suportadas do software, que gerencia cerca de 70 milhões de domínios no mundo. Pesquisadores de segurança confirmam que já havia exploits ativos circulando quando o patch de emergência foi liberado — para muitas hospedagens, a pergunta não é mais se os servidores estavam vulneráveis, e sim se foram comprometidos antes de a atualização chegar.

A falha está na lógica de carregamento e salvamento de sessões do cPanel, registrada internamente como CPANEL-52908. Na prática, um invasor podia enviar uma requisição de login malformada e receber credenciais de sessão válidas para uma conta na qual nunca tinha se autenticado — incluindo, no pior cenário, acesso root ao WHM, o painel do lado do servidor que controla contas de hospedagem, roteamento de e-mail, certificados SSL e bancos de dados. Seis ramos de versão precisaram de correção urgente: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 e 11.136.0.5. Servidores que ainda rodam versões do cPanel fora de suporte não vão receber correção alguma e devem ser tratados como ativamente comprometidos.

O cPanel é a camada padrão de painel de controle da infraestrutura de hospedagem compartilhada que sustenta boa parte da web de consumo. Uma invasão bem-sucedida contra um único servidor cPanel pode se espalhar por milhares de sites subordinados — todos os domínios hospedados naquela máquina, mais e-mail, bancos de dados e arquivos de cliente. A equipe de pesquisa do watchTowr Labs descreveu os sistemas atingidos como o plano de gerenciamento de uma fatia significativa da internet, e um provedor, a KnownHost, confirmou que a exploração já estava acontecendo antes de qualquer aviso ser publicado.

Você também pode gostarHexstrike-AI: O Alvorecer da Exploração Autônoma de Vulnerabilidades Zero-Day

A Namecheap, uma das maiores revendedoras da plataforma, tomou a medida incomum de bloquear temporariamente o acesso às portas 2083 e 2087 — as entradas web do cPanel e do WHM — para todos os clientes enquanto distribuía a correção. Quando a atualização chegou às frotas Reseller e Stellar Business da empresa, a plataforma tinha ficado efetivamente apagada por fora durante várias horas. Outros grandes provedores publicaram avisos parecidos, recomendando que os clientes rodassem /scripts/upcp –force como root para forçar a atualização em vez de esperar a janela automática de manutenção.

O alerta vem com ressalvas. A própria cPanel não publicou detalhes técnicos profundos sobre a vulnerabilidade — a maior parte da análise pública vem de pesquisadores externos fazendo engenharia reversa do patch, o que significa que os requisitos exatos de exploração continuam parcialmente envoltos. O número de “70 milhões de domínios” é uma estimativa antiga do próprio material de marketing da cPanel e inclui contas de hospedagem compartilhada em que um único servidor de painel gerencia milhares de sites; o total de servidores únicos afetados é muito menor. E embora a exploração esteja confirmada antes do patch, ainda não veio à tona nenhuma brecha pública grande atribuída a essa CVE — isso pode mudar nas próximas semanas, conforme as investigações forenses se encerrem, ou pode não mudar.

O episódio se encaixa num padrão que os pesquisadores de segurança vêm sinalizando há anos: a camada de gestão da hospedagem de consumo é um dos alvos de maior valor e menor escrutínio da internet. Uma falha num único componente de painel de controle pode entregar ao invasor as chaves de milhares de pequenos sites e sites de PMEs com defesas mínimas ao mesmo tempo, sem precisar de cadeias exóticas de exploração. Bugs de bypass de autenticação em softwares da classe cPanel valem alto em mercados clandestinos, e a defasagem entre divulgação e cobertura completa de patch é medida em semanas para servidores independentes não gerenciados — bem depois que o ciclo público de notícias seguiu adiante.

A cPanel liberou os patches de emergência em 28 de abril, e a Namecheap e outros grandes provedores completaram a distribuição nas primeiras horas de 29 de abril. Administradores de servidores cPanel ou WHM devem confirmar imediatamente que estão em uma das builds corrigidas e tratar como potencialmente comprometido qualquer servidor que tenha rodado uma versão vulnerável exposta à internet nos dias anteriores ao patch. A cPanel não se comprometeu com um relatório público pós-incidente.

Mais como este

A camada de identidade que a internet nunca teve está sendo construída agora, sob pressão sintética

ICARUS: Console Edition é anunciado para PlayStation 5 e Xbox Series

Adeus ao Silício: China revela ‘LightGen’, o processador que usa a luz para desafiar a Nvidia e quebrar a barreira do calor

Meridiem Anuncia Edição Física de Papetura para PlayStation 5 e Nintendo Switch

Alaskan Road Truckers: Highway Edition chega com tudo nos consoles

MARS 2120: “Metroidvania Brasileiro” Vai Ser Lançado em Breve