技术说明
WebPros cPanel & WHM 和 WP2 (WordPress Squared) 包含一个严重的认证绕过漏洞 (CWE-306: Missing Authentication for Critical Function),允许未经身份验证的远程攻击者绕过登录界面,无需凭据即可获得对网络托管控制面板的完全管理访问权限。
攻击途径
远程未经身份验证的攻击者利用认证流程中的逻辑缺陷,以完全权限访问控制面板。CISA 确认存在主动的野外利用。该漏洞影响 2026 年 4 月 28 日安全更新之前的所有受支持的 cPanel/WHM 版本,至少一家托管提供商观察到可以追溯到 2026 年 2 月 23 日的已确认利用尝试。
受影响系统
所有运行 2026 年 4 月 28 日之前发布版本的 cPanel & WHM 安装和 WP2 (WordPress Squared) 系统。数千万个网站依赖 cPanel 进行网络服务器管理,使其成为全球部署最广泛的网络托管平台之一。
缓解措施
立即应用 2026 年 4 月 28 日发布的安全更新。cPanel 已为所有受支持的版本发布了修补版本。包括 Namecheap、HostGator 和 KnownHost 在内的网络托管提供商临时阻止了客户面板访问以部署补丁。根据 CISA BOD 22-01,联邦修复截止日期:2026 年 5 月 3 日。使用 cPanel 的组织应与其托管提供商验证补丁状态,并审核自 2026 年 2 月以来的访问日志,查找未经授权的管理会话。