cPanel重大漏洞出現濫用的概念驗證框架，全球網際網路尚有兩萬多臺伺服器遭駭

漏洞簡介與影響範圍

供應網站主機代管相關軟體的WebPros，其擁有的cPanel與WHM（WebHost Manager）在2026年4月28日揭露並修補了一個嚴重程度達9.8分的漏洞（CVE-2026-41940），此為身份驗證繞過漏洞，影響所有支持版本的cPanel與WHM系統。

美國網路安全和基礎設施安全局（CISA）於兩天後宣佈，將CVE-2026-41940加入已知遭利用漏洞清單（KEV），並指出已觀察到攻擊者針對此漏洞進行濫用活動。

根據Shadowserver基金會的報告，截至5月1日，已有4.4萬個IP位址被發現疑似遭駭，且攻擊者針對其設置的蜜罐進行誘捕，顯示攻擊活動持續擴大。

該漏洞涉及連線階段的載入與儲存機制，攻擊者可藉此繞過身份驗證，取得伺服器根權限，並完全控制伺服器上的資料。

cPanel已發布修補版本，並建議所有用戶立即更新系統以避免風險。相關修補資訊可參考：https://support.cpanel.net/hc/en-us/articles/40073787579671-Critical-Vulnerability-with-cPanel-WHM-Login-

多家安全公司指出，目前暴露在互聯網上的cPanel實例數量眾多，可能受到此漏洞影響，CISA亦已確認該漏洞正遭在野利用。