技術的な説明
WebPros cPanel & WHMおよびWP2 (WordPress Squared)には、認証なしのリモート攻撃者がログイン画面を回避し、認証情報なしでウェブホスティングコントロールパネルへの完全な管理者アクセス権を取得できるようにする重大な認証バイパス脆弱性(CWE-306: 重要機能の認証の欠落)が存在します。
攻撃経路
認証なしのリモート攻撃者は、認証フロー内のロジック欠陥を悪用して、完全な権限でコントロールパネルにアクセスします。CISAは野生での積極的な悪用を確認しています。この脆弱性は2026年4月28日のセキュリティアップデート前のすべてのサポート対象cPanel/WHMバージョンに影響し、2026年2月23日にさかのぼる確認された悪用の試みが少なくとも1つのホスティングプロバイダによって観察されています。
影響を受けるシステム
2026年4月28日前にリリースされたバージョンを実行しているすべてのcPanel & WHMインストールおよびWP2 (WordPress Squared)システム。数千万のウェブサイトはウェブサーバー管理にcPanelに依存しており、これを世界で最も広く展開されているウェブホスティングプラットフォームの1つにしています。
緩和策
2026年4月28日にリリースされたセキュリティアップデートを直ちに適用してください。cPanelはすべてのサポート対象リリースの修正済みバージョンを公開しています。Namecheap、HostGator、KnownHostを含むウェブホスティングプロバイダは、パッチを展開するために顧客パネルアクセスを一時的にブロックしました。CISA BOD 22-01に基づく修復の連邦期限: 2026年5月3日。cPanelを使用している組織は、ホスティングプロバイダとのパッチステータスを確認し、2026年2月以降の権限のない管理セッションのアクセスログを監査する必要があります。