Pesquisadores de segurança estão soando o alarme sobre uma vulnerabilidade recém-descoberta no software de gerenciamento de servidor web amplamente utilizado cPanel e WebHost Manager (WHM).
O bug permite que hackers sequestrem e assumam o controle total dos servidores que executam o software afetado, que se acredita ser usado por dezenas de milhões de proprietários de sites em todo o mundo.
Muitas empresas comerciais de hospedagem na web já corrigiram os sistemas de seus clientes. Mas o fabricante do cPanel retorna os clientes para garantir que seus sistemas sejam corrigidos, pois o bug afeta todas as versões suportadas do software.
cPanel e WHM são dois pacotes de software usados para gerenciar servidores web que hospedam sites, gerenciam e-mails e lidam com configurações e bancos de dados importantes necessários para manter um domínio da Internet. Os dois pacotes têm acesso profundo aos servidores que gerenciam, permitindo a um hacker mal-intencionado acesso potencialmente irrestrito aos dados gerenciados pelo software afetado.
O bug, oficialmente rastreado como CVE-2026-41940, permite que hackers mal-intencionados ignorem remotamente sua tela de login para obter acesso total ao painel de administração do software.
Dada a onipresença dos softwares cPanel e WHM na indústria de hospedagem na web, os hackers podem comprometer um número potencialmente grande de sites que não corrigiram o bug.
A agência nacional de segurança cibernética do Canadá disse em um comunicado que o bug poderia ser explorado para comprometer sites em servidores de hospedagem compartilhada, como grandes empresas de hospedagem na web.
A agência disse que “a exploração é altamente provável” e que é necessária uma ação imediata dos clientes cPanel, ou de seus hosts da web, para evitar o acesso malicioso.
A gigante de hospedagem Namecheap, que usa cPanel para permitir que seus clientes gerenciem seus servidores web, disse que a empresa bloqueou o acesso aos painéis cPanel dos clientes depois de saber da falha para evitar a exploração e para dar tempo para corrigir os sistemas de seus clientes.
Hostgator também disse que corrigiu seus sistemas e está considerando o bug uma “exploração crítica de desvio de autenticação”.
Uma empresa de hospedagem afirma ter encontrado evidências de que hackers abusaram da vulnerabilidade durante meses antes de as tentativas serem descobertas.
O CEO da KnownHost, Daniel Pearson, disse em um post no Reddit que sua empresa viu tentativas de explorar a vulnerabilidade já em 23 de fevereiro. A empresa disse que também começou a bloquear brevemente o acesso aos sistemas dos clientes antes de aplicar patches.
De acordo com Pearson, cerca de 30 servidores da KnownHost mostraram sinais de tentativa de acesso não autorizado a milhares de computadores em sua rede. Pearson gostou dos esforços e não viu sinais de compromisso ativo. O cPanel também disse que lançou uma correção de segurança para WP Squared, uma ferramenta semelhante para gerenciar sites WordPress.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
