استغل المخترقون ثغرة أمنية حرجة تسمح بتجاوز نظام المصادقة في برنامجي cPanel و WebHost Manager (WHM) لأشهر قبل الكشف عنها رسمياً. هذه البرمجيات تدير ملايين المواقع حول العالم، مما يجعل الثغرة التي تحمل الرمز CVE-2026-41940 وبتقييم خطورة 9.8 من 10، تهديداً حقيقياً لاستقرار الويب. الخلل يضرب كل النسخ المدعومة حالياً بعد الإصدار 11.40، وحتى بعض النسخ التي توقف دعمها، وهو ما يفتح الباب للمهاجمين للسيطرة الكاملة على خوادم الاستضافة دون الحاجة لامتلاك بيانات دخول.
يكمن أصل المشكلة في خلل بمنطق التحقق من الجلسات (session validation) أثناء عملية تسجيل الدخول. يوضح الباحثون الأمنيون أن نظام cPanel يقوم بكتابة ملف جلسة مؤقت على القرص قبل إتمام عملية الدخول، وهنا يتدخل المهاجمون عبر التلاعب ببيانات الـ authorization header أو ملفات الكوكيز باستخدام تقنيات مثل CRLF injection. هذا التلاعب يسمح لهم بحقن بيانات دخول خبيثة في الملف بشكل نصي صريح (plaintext)، ثم إعادة تحميله لتجاوز حواجز تسجيل الدخول تماماً. وحسب تقرير TechCrunch، تسابق شركات الاستضافة الزمن لسد هذه الثغرة، حيث أكدت إحداها رصد استغلال فعلي لها منذ فبراير 2026 على الأقل، حين كانت تُصنف كـ Zero-day.
أعلنت cPanel عن المشكلة في 28 أبريل 2026، وأطلقت تحديثات طارئة في غضون ساعات، مع توجيهات مشددة للمستخدمين بتحديث الأنظمة يدوياً فوراً. استجابت شركات كبرى مثل Cloudflare بسرعة عبر تفعيل قواعد في جدار حماية تطبيقات الويب (WAF) لصد محاولات استغلال الثغرة المرتبطة بهذا الرمز. كما اتخذت شركات استضافة مثل Namecheap خطوات حازمة، حيث أغلقت مؤقتاً الوصول إلى منافذ cPanel رقم 2083 و 2087 لحماية عملائها حتى يتم الانتهاء من التحديث، وفقاً لتنبيهات أرسلتها لمستخدميها.
حجم المخاطر هنا ضخم جداً بالنظر لانتشار cPanel الواسع؛ حيث تظهر مسوحات Shodan وجود نحو 1.5 مليون نسخة مكشوفة على الإنترنت. النجاح في استغلال الثغرة يمنح المهاجم صلاحيات الـ root-level access، وهو ما يعني سيطرته الكاملة على المواقع، وقواعد البيانات، والبريد الإلكتروني، والإعدادات. وتؤكد تحليلات Rapid7 و Hadrian أن هذا الاختراق يُمكّن الهاكرز من زرع برمجيات خبيثة (backdoors) أو web shells، وسرقة البيانات الحساسة، أو حتى تحويل الخوادم لمنصات إرسال سبام وتوجيه الزوار لمواقع احتيالية، بل والتوغل داخل شبكات العملاء.
بينما يؤدي اختراق حسابات cPanel الفردية لتضرر مواقع وبيانات مستخدمين محددين، فإن اختراق WHM يعرض الخادم بالكامل وكل المواقع المستضافة عليه للخطر. وفرت cPanel سكربت فحص للبحث عن آثار الاختراق، مثل الجلسات التي تحتوي على رموز (tokens) غير صالحة أو حقول كلمات مرور تحتوي على أسطر جديدة. من جهتها، أكدت مختبرات WatchTowr Labs فاعلية الثغرة بعد اختبارها على النسخة 11.110.0.96 غير المحدثة، والتأكد من فاعلية الحل الأمني في النسخة 11.110.0.97.
يظل سد هذه الثغرة الأولوية القصوى لمديري الأنظمة وشركات الاستضافة حالياً، فالهجمات لا تزال مستمرة في الواقع. شملت التحديثات أيضاً منتجات مرتبطة مثل WP Squared الذي وصل للإصدار 136.1.7. ويحذر الخبراء من أن التراخي في التحديث يضع الأنظمة تحت رحمة عمليات الفحص الآلي المستمرة والمحاولات المستهدفة التي تستغل أي ثغرة لم تُغلق بعد.