Kerentanan bypass autentikasi tingkat kritis (CVE-2026-41940) pada platform manajemen server cPanel, WHM, dan WP Squared dilaporkan tengah dieksploitasi secara aktif di alam liar (in the wild). Lebih mengejutkan lagi, celah ini ternyata telah dimanfaatkan dalam berbagai upaya serangan sejak akhir Februari lalu.
Meskipun belum jelas kapan tepatnya eksploitasi pertama kali dimulai, penyedia hosting KnownHost—yang menggunakan cPanel—menyatakan pada hari kerentanan ini diungkapkan bahwa “eksploitasi yang berhasil telah terlihat di alam liar” jauh sebelum perbaikan tersedia.
CEO KnownHost, Daniel Pearson, bahkan secara spesifik menyatakan bahwa perusahaannya telah “melihat upaya eksekusi paling awal sejak 23 Februari 2026.”
Detail Teknis dan Rilis PoC
Rincian teknis yang baru saja dipublikasikan, yang dapat digunakan untuk mengembangkan eksploitasi fungsional, mengungkapkan bahwa akar masalah ini adalah “Injeksi Carriage Return Line Feed (CRLF) dalam proses login dan pemuatan sesi cPanel & WHM.”
Sebuah laporan dari perusahaan keamanan ofensif watchTowr menjelaskan bahwa cacat ini disebabkan oleh penanganan sesi yang tidak tepat. Dalam kasus ini, input yang dikontrol pengguna dari header Authorization langsung ditulis ke dalam file sesi sisi server (server-side session files) sebelum proses autentikasi selesai dan tanpa sanitasi yang memadai.
Para peneliti watchTowr juga telah menerbitkan analisis mendetail, termasuk Proof-of-Concept (PoC), mengenai bagaimana bug ini dapat dipicu untuk masuk ke dalam sistem tanpa memvalidasi kata sandi yang diberikan. Informasi ini jelas dapat digunakan oleh aktor ancaman untuk mengembangkan eksploitasi yang berfungsi penuh.
Skala Ancaman yang Masif
Menurut firma keamanan Rapid7, pemindaian internet melalui Shodan menunjukkan bahwa terdapat sekitar 1,5 juta instans cPanel yang terekspos secara online. Meskipun tidak ada data pasti mengenai berapa banyak dari instans tersebut yang rentan terhadap CVE-2026-41940, potensi dampaknya sangat mengerikan.
“Eksploitasi CVE-2026-41940 yang berhasil akan memberi penyerang kontrol mutlak atas sistem host cPanel, seluruh konfigurasinya, basis data, dan semua situs web yang dikelolanya,” peringat Rapid7.
cPanel telah memperbarui imbauan keamanannya, mencatat bahwa kerentanan ini juga memengaruhi WP Squared, sebuah panel manajemen komprehensif untuk hosting WordPress yang dibangun di atas fondasi cPanel. Lebih lanjut, pihak vendor mengklarifikasi bahwa hanya versi cPanel setelah rilis 11.40 yang terpengaruh oleh celah keamanan ini.
Pembaruan dan Langkah Darurat
cPanel telah merilis perbaikan pada tanggal 28 April menyusul tekanan dari berbagai penyedia hosting (seperti Namecheap yang sempat memblokir koneksi ke port 2083 dan 2087 demi melindungi pelanggan).
Vendor sangat menyarankan agar semua pelanggan memulai ulang (restart) layanan cpsrvd setelah menginstal rilis perangkat lunak terbaru. Rilis yang terdampak dan versi perbaikannya adalah:
- cPanel/WHM 11.110.0 → diperbaiki pada 11.110.0.97
- cPanel/WHM 11.118.0 → diperbaiki pada 11.118.0.63
- cPanel/WHM 11.126.0 → diperbaiki pada 11.126.0.54
- cPanel/WHM 11.132.0 → diperbaiki pada 11.132.0.29
- cPanel/WHM 11.134.0 → diperbaiki pada 11.134.0.20
- cPanel/WHM 11.136.0 → diperbaiki pada 11.136.0.5
- WP Squared 11.136.1 → diperbaiki pada 11.136.1.7
Solusi Sementara: Jika penambalan sistem tidak dapat segera dilakukan, administrator harus segera memblokir akses eksternal ke port 2083, 2087, 2095, dan 2096, atau menghentikan sepenuhnya layanan inti internal cpsrvd dan cpdavd milik cPanel.
Pihak vendor juga telah menyediakan skrip deteksi untuk memeriksa adanya indikator kompromi pada server. watchTowr turut merilis skrip Detection Artifact Generator yang dapat digunakan untuk memverifikasi apakah instans cPanel dan WHM Anda masih rentan terhadap CVE-2026-41940. Jika indikator serangan ditemukan, Anda diwajibkan untuk segera membersihkan semua sesi, mengatur ulang semua kredensial, mengaudit log, dan menyelidiki mekanisme persistensi malware.