CVE-2026-41940 : Zero-day cPanel exploité 64 jours avant divulgation, ransomware et botnet déployés

Sat, 09 May 2026 00:00:00 +0000

🗓️ Contexte

Article publié le 3 mai 2026 sur webhosting.today par Łukasz Nowak. Il s’agit d’un suivi d’une couverture initiale du 29 avril 2026 portant sur la divulgation d’une vulnérabilité critique dans cPanel et WHM. L’article compile des données de Rapid7, Censys, GreyNoise, KnownHost et NocInit.

🔍 Vulnérabilité

CVE-2026-41940 est classée CWE-306 (Missing Authentication for Critical Function). Le mécanisme technique repose sur une injection CRLF dans le processus de chargement et sauvegarde de sessions de cPanel, permettant à un attaquant non authentifié de manipuler les fichiers de session et d’injecter des privilèges root, contournant entièrement l’écran de connexion sur les interfaces cPanel et WHM.

CVE-2026-41940 : exploitation massive de cPanel/WHM avec déploiement de Mirai et ransomware

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé.

📈 Détection de la vague d’exploitation

Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que :

Hidden-Tear on CyberVeille

CVE-2026-41940 : Zero-day cPanel exploité 64 jours avant divulgation, ransomware et botnet déployés

🗓️ Contexte

🔍 Vulnérabilité

CVE-2026-41940 : exploitation massive de cPanel/WHM avec déploiement de Mirai et ransomware

🔍 Contexte

📈 Détection de la vague d’exploitation