Uma falha de início de sessão deixou 70 milhões de sites cPanel abertos a qualquer pessoa

Uma falha crítica de bypass de autenticação no cPanel e no WHM permitia que atacantes entrassem pela porta principal de qualquer painel de controlo exposto à internet sem necessidade de utilizador ou palavra-passe. A vulnerabilidade, registada como CVE-2026-41940 com uma pontuação CVSS de 9,8 em 10, afecta todas as versões suportadas do software, que gere cerca de 70 milhões de domínios no mundo. Os investigadores de segurança confirmam que já havia exploits activos a circular quando o patch de emergência foi publicado — para muitos alojadores, a pergunta deixou de ser se os servidores eram vulneráveis e passou a ser se foram comprometidos antes de poderem actualizar.

A vulnerabilidade reside na lógica de carregamento e gravação de sessões do cPanel, registada internamente como CPANEL-52908. Na prática, um atacante podia enviar um pedido de login malformado e receber credenciais de sessão válidas para uma conta à qual nunca se tinha autenticado — incluindo, no pior dos casos, acesso de root ao WHM, o painel do lado do servidor que controla contas de alojamento, encaminhamento de e-mail, certificados SSL e bases de dados. Seis ramos de versão precisaram de patch urgente: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 e 11.136.0.5. Os servidores que ainda correm versões de cPanel fora de suporte não receberão qualquer patch e devem ser tratados como activamente comprometidos.

O cPanel é a camada-padrão de painel de controlo para a infra-estrutura de alojamento partilhado que sustenta grande parte da web de consumo. Uma intrusão bem-sucedida num único servidor cPanel pode propagar-se a milhares de sites subordinados — todos os domínios alojados naquela máquina, mais o e-mail, as bases de dados e os ficheiros dos clientes. A equipa de investigação da watchTowr Labs descreveu os sistemas afectados como o plano de gestão de uma parte significativa da internet, e um alojador, a KnownHost, confirmou que a exploração já estava em curso antes da publicação de qualquer aviso.

Também poderá gostarHexstrike-AI: O Alvorecer da Exploração Autónoma de Vulnerabilidades Zero-Day

A Namecheap, um dos maiores revendedores na plataforma, tomou a medida invulgar de bloquear temporariamente o acesso às portas 2083 e 2087 — as entradas web do cPanel e do WHM — a todos os clientes durante a aplicação do patch. Quando a actualização chegou às frotas Reseller e Stellar Business da empresa, a plataforma tinha estado apagada do exterior durante várias horas. Outros grandes alojadores publicaram alertas semelhantes e recomendaram aos clientes que executassem /scripts/upcp –force como root para forçar a actualização em vez de esperarem pela janela automática de manutenção.

O alarme vem com nuances. A própria cPanel não publicou detalhes técnicos profundos sobre a vulnerabilidade — a maior parte da análise pública vem de investigadores externos a fazer engenharia inversa ao patch, o que significa que os requisitos exactos de exploração permanecem parcialmente velados. O número de “70 milhões de domínios” é uma estimativa antiga do próprio material de marketing da cPanel e inclui contas de alojamento partilhado em que um único servidor de painel gere milhares de sites; o número real de servidores únicos afectados é muito mais baixo. E embora a exploração esteja confirmada antes do patch, ainda não foi tornada pública qualquer grande brecha atribuída a esta CVE — isso poderá mudar nas próximas semanas, à medida que as investigações forenses fecharem, ou poderá não mudar.

O episódio encaixa num padrão que os investigadores de segurança vêm sinalizando há anos: a camada de gestão de alojamento de consumo é um dos alvos de maior valor e menor escrutínio da internet. Uma falha num único componente de painel de controlo pode entregar ao atacante as chaves de milhares de sites pequenos e de PME pouco defendidos em simultâneo, sem cadeias de exploração exóticas. Os bugs de bypass de autenticação em software do tipo cPanel valem caro em mercados clandestinos, e o intervalo entre divulgação e cobertura total de patch mede-se em semanas para os servidores independentes não geridos — muito depois de o ciclo público das notícias ter seguido em frente.

A cPanel publicou os patches de emergência a 28 de Abril, e a Namecheap e outros grandes alojadores concluíram a aplicação nas primeiras horas de 29 de Abril. Os administradores de servidores cPanel ou WHM devem verificar de imediato se estão numa das builds corrigidas e tratar como potencialmente comprometido qualquer servidor que tenha estado exposto à internet com uma versão vulnerável nos dias anteriores ao patch. A cPanel não se comprometeu a publicar um relatório pós-incidente público.

Mais artigos semelhantes

A Domesticação da Conversa de Grupo: Como o WhatsApp Está a Redesenhar a Nossa Vida Social Digital

Quando o algoritmo audita a física: o colapso silencioso da autoridade da revisão por pares

O agente da Perplexity para Mac custa 200 dólares por mês e lê o seu correio electrónico

Oppo Find X9 Ultra estreia com zoom óptico 10x e um 300 mm destacável

Jogos mais esperados para o próximo ano: Grand Theft Auto VI (GTA 6)

Meridiem Games anuncia The Pixel Pulps Collection – Edição Especial para Nintendo Switch e PlayStation 5