기술 설명
WebPros cPanel & WHM 및 WP2(WordPress Squared)는 중요한 인증 우회 취약점(CWE-306: Critical Function에 대한 누락된 인증)을 포함하고 있으며, 이는 인증되지 않은 원격 공격자가 로그인 화면을 우회하고 자격증명 없이 웹 호스팅 제어판에 대한 전체 관리 액세스를 획득할 수 있게 합니다.
공격 경로
인증되지 않은 원격 공격자는 인증 흐름의 논리 결함을 악용하여 전체 권한으로 제어판에 액세스합니다. CISA는 활발한 실제 악용을 확인합니다. 이 취약점은 2026년 4월 28일 보안 업데이트 이전의 모든 지원되는 cPanel/WHM 버전에 영향을 미치며, 적어도 한 호스팅 제공자가 관찰한 2026년 2월 23일로 거슬러 올라가는 확인된 악용 시도가 있습니다.
영향받는 시스템
2026년 4월 28일 이전에 배포된 버전을 실행하는 모든 cPanel & WHM 설치 및 WP2(WordPress Squared) 시스템. 수천만 개의 웹사이트가 웹 서버 관리를 위해 cPanel에 의존하고 있으며, 이는 전 세계적으로 가장 널리 배포된 웹 호스팅 플랫폼 중 하나입니다.
완화 방안
2026년 4월 28일에 배포된 보안 업데이트를 즉시 적용하십시오. cPanel은 지원되는 모든 릴리스에 대해 패치된 버전을 게시했습니다. Namecheap, HostGator 및 KnownHost를 포함한 웹 호스팅 제공자는 패치를 배포하기 위해 일시적으로 고객 패널 액세스를 차단했습니다. 보안 수정 연방 기한: CISA BOD 22-01에 따라 2026년 5월 3일. cPanel을 사용하는 조직은 호스팅 제공자와 패치 상태를 확인하고 2026년 2월 이후 무단 관리 세션에 대한 액세스 로그를 감사해야 합니다.