🗞️ Contexte

Article publié le 1er mai 2026 par The Register (Carly Page). Il rapporte l’exploitation active d’une vulnérabilité critique dans cPanel et WHM, l’un des panneaux de gestion d’hébergement web les plus répandus au monde, ainsi que dans WP Squared, une couche de gestion WordPress construite sur la même plateforme.

🔍 Vulnérabilité

  • CVE-2026-41940 — score CVSS 9.8 (critique)
  • Affecte toutes les versions supportées de cPanel/WHM postérieures à la version 11.40, ainsi que WP Squared
  • Un exploit réussi permet la prise de contrôle totale du serveur
  • Le patch a été publié par cPanel un mardi ; l’exploitation était déjà en cours avant cette date
  • CISA a ajouté la faille à son catalogue Known Exploited Vulnerabilities (KEV) le jeudi suivant

📅 Chronologie de l’exploitation

  • 23 février 2026 : premières tentatives d’exploitation observées par l’hébergeur KnownHost (déclaration du CEO Daniel Pearson sur Reddit)
  • Avant le patch : exploitation confirmée en conditions réelles
  • Post-patch : CISA confirme l’exploitation active ; Namecheap a temporairement bloqué l’accès à cPanel/WHM en attendant les correctifs

💥 Impact observé

  • Un propriétaire de petite entreprise a signalé sur Reddit avoir été victime d’une attaque ransomware suite à l’exploitation de cette vulnérabilité sur une configuration cPanel standard
  • Demande de rançon : 7 000 $ pour déverrouiller les systèmes
  • L’hébergeur de la victime semblait débordé par l’incident
  • Rapid7, via Shodan, a identifié environ 1,5 million d’instances cPanel exposées sur Internet
  • cPanel sous-tend l’hébergement de dizaines de millions de sites web

🎯 Profil des cibles

  • Hébergeurs web et leurs clients
  • Petites structures dépendant de fournisseurs d’hébergement mutualisé
  • Sites WordPress gérés via WP Squared

📄 Nature de l’article

Article de presse spécialisée relatant une annonce d’incident en cours, combinant des éléments de rapport d’exploitation active, de réponse des hébergeurs et de témoignages de victimes. But principal : informer sur l’étendue de l’exploitation et l’urgence de la situation.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

  • CVEs : CVE-2026-41940NVD · CIRCL

Malware / Outils

  • Ransomware (non identifié) (ransomware)

🟡 Indice de vérification factuelle : 37/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 2871 chars — texte partiel (fulltext extrait) (13pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/2026/05/01/critical_cpanel_vuln_hits_cisa/