Một lỗ hổng bảo mật nghiêm trọng trong cPanel – phần mềm quản lý hosting phổ biến – đang bị khai thác ngoài thực tế. Đây không phải kiểu tấn công brute-force hay lộ mật khẩu, mà là lỗi logic cho phép bỏ qua hoàn toàn bước xác thực.
Một request có thể biến thành quyền root
Theo báo cáo từ Rapid7, lỗ hổng này cho phép attacker truy cập hệ thống mà không cần đăng nhập:
“allows unauthenticated remote attackers to bypass authentication”
Nguồn: https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
Phân tích kỹ thuật cho thấy attacker có thể chèn dữ liệu vào session trước khi xác thực hoàn tất:
“inject crafted lines into a pre-authentication session file”
Nguồn: https://hadrian.io/blog/cve-2026-41940-a-critical-authentication-bypass-in-cpanel
Khi session bị thao túng, hệ thống sẽ coi attacker là user hợp lệ – thậm chí là root.
Đã bị khai thác ngoài thực tế
SecurityWeek xác nhận lỗ hổng này đã bị khai thác như một zero-day:
“exploited as a zero-day since February 2026”
Nguồn: https://www.securityweek.com/critical-cpanel-whm-vulnerability-exploited-as-zero-day-for-months/
TechCrunch mô tả mức độ nghiêm trọng:
“hackers can hijack and take full control of the servers”
Nguồn: https://techcrunch.com/2026/04/30/hackers-are-actively-exploiting-a-bug-in-cpanel-used-by-millions-of-websites/
CISA cũng đã đưa nó vào danh sách lỗ hổng đang bị khai thác:
“added to the Known Exploited Vulnerabilities catalog”
Nguồn: https://www.malwarebytes.com/blog/news/2026/05/actively-exploited-cpanel-bug-exposes-millions-of-websites-to-takeover
Quy mô ảnh hưởng
cPanel là nền tảng cực kỳ phổ biến trong hosting:
“used by over a million sites worldwide”
Nguồn: https://www.malwarebytes.com/blog/news/2026/05/actively-exploited-cpanel-bug-exposes-millions-of-websites-to-takeover
Rapid7 ước tính:
“approximately 1.5 million cPanel instances exposed”
Nguồn: https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
Đáng chú ý, lỗ hổng ảnh hưởng rộng:
“affects all currently supported versions”
Nguồn: https://www.namecheap.com/status-updates/ongoing-critical-security-vulnerability-in-cpanel-april-28-2026/
Vì sao lỗi này đặc biệt nguy hiểm
Không giống nhiều vulnerability khác, lỗi này:
- Không cần tài khoản
- Không cần tương tác người dùng
- Không cần exploit chain
Help Net Security nhận định:
“gain unauthorized administrative access to the control panel”
Nguồn: https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/
Và khi đã vào được:
“provide control over entire hosting infrastructures”
Nguồn: https://ccb.belgium.be/advisories/warning-critical-authentication-bypass-cpanel-whm-patch-immediately
Góc nhìn trái chiều
Một bên coi đây là thảm họa diện rộng:
“CVSS score of 9.8”
Nguồn: https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
Bên khác nhấn mạnh yếu tố vận hành:
cPanel đã phát hành bản vá và yêu cầu update ngay:
Nguồn: https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
Điều này khiến rủi ro thực tế phụ thuộc vào tốc độ cập nhật hệ thống.
Kết luận
Lỗ hổng CVE-2026-41940 không chỉ là một bug nghiêm trọng. Nó phơi bày một điểm yếu lớn hơn:
Toàn bộ hệ sinh thái hosting đang phụ thuộc vào một lớp control duy nhất.
Khi lớp này lỗi, tác động không còn giới hạn ở một website, mà lan ra toàn bộ hạ tầng phía sau nó.
