Penjelasan teknis
WebPros cPanel & WHM dan WP2 (WordPress Squared) mengandung kerentanan bypass autentikasi kritis (CWE-306: Missing Authentication for Critical Function) yang memungkinkan penyerang jarak jauh tanpa autentikasi untuk melewati layar login dan mendapatkan akses administratif penuh ke panel kontrol hosting web tanpa kredensial.
Vektor serangan
Penyerang jarak jauh tanpa autentikasi memanfaatkan cacat logika dalam alur autentikasi untuk mengakses panel kontrol dengan hak istimewa penuh. CISA mengonfirmasi eksploitasi aktif di lapangan. Kerentanan memengaruhi semua versi cPanel/WHM yang didukung sebelum pembaruan keamanan 28 April 2026, dengan upaya eksploitasi yang dikonfirmasi sejak 23 Februari 2026 diamati oleh setidaknya satu penyedia hosting.
Sistem yang terdampak
Semua instalasi cPanel & WHM dan sistem WP2 (WordPress Squared) yang menjalankan versi dirilis sebelum 28 April 2026. Puluhan juta situs web mengandalkan cPanel untuk manajemen server web, menjadikan ini salah satu platform hosting web yang paling luas digunakan secara global.
Mitigasi
Terapkan pembaruan keamanan yang dirilis 28 April 2026 segera. cPanel telah mempublikasikan versi yang diperbaiki untuk semua rilis yang didukung. Penyedia hosting web termasuk Namecheap, HostGator, dan KnownHost secara sementara memblokir akses panel pelanggan untuk menerapkan patch. Tanggal jatuh tempo federal untuk remediasi: 3 Mei 2026 per CISA BOD 22-01. Organisasi yang menggunakan cPanel harus memverifikasi status patch dengan penyedia hosting mereka dan mengaudit log akses untuk sesi administratif tidak sah sejak Februari 2026.