cPanelの認証バイパス、2月から悪用 150万台に影響

cPanel・WHMで認証画面を素通りされる脆弱性が見つかった。露出している1.5万台級ではなく、約150万台がインターネットに晒されている。問題は、攻撃が2月23日から続いていたことだ。

共有ホスティングの管理面が、丸ごと開いていた

世界の中小サイトを支える管理ソフト、cPanelとWebHost Manager(WHM)に、認証を完全に迂回できる欠陥が存在していた。CVSSスコアは9.8、CVE番号は CVE-2026-41940 。深刻度は最大級だ。

WHMはレンタルサーバー業者が複数のcPanelアカウントを束ねて管理するためのツールで、root権限に近い操作が可能になる。ここに無認証でアクセスできるということは、サーバー上に同居している数十から数百のサイトを丸ごと掌握できることを意味する。

watchTowrは、cPanelとWHMが管理するドメインは7000万件以上に上ると指摘し、本脆弱性を「王国の鍵、そして王国内のすべてのアパートの鍵」と表現した。

Shodanの調査では、インターネットから到達可能なcPanelインスタンスは 約150万台 に上る。すべてが脆弱とは限らないが、攻撃面の広さは桁違いだ。

2か月以上、誰にも気づかれず悪用されていた

公式アドバイザリーが出たのは4月28日。だが攻撃はそれよりずっと前から動いていた。

ホスティング事業者KnownHostのCEOであるダニエル・ピアソン氏(Daniel Pearson)は、2月23日時点で実行試行を観測していたとReddit上で明らかにした。

watchTowr Labsが技術解析と概念実証コードを公開したのは4月29日。公開PoCの登場で、ばらまき型の悪用が増える可能性が高まっている。つまり、研究者の手を借りずに攻撃者は2月から脆弱性を独自に握っていたことになる。

KnownHost側は、自社ネットワーク上の数千台のうち約30台でアクセス試行の痕跡を見つけた。ピアソン氏自身は「動作確認に留まり、能動的な侵害の兆候はない」と記している。ただ、これは1社の観測範囲の話だ。観測されていない事業者で何が起きていたかは別の問題として残る。

開示プロセスにも疑問が残る

時系列の整理が、もうひとつの論点を生んでいる。

複数の報道によれば、本脆弱性は4月28日の公開アドバイザリーの約2週間前にcPanelへ報告されていた。当初の返答は「問題なし」だったとされる。

報告者がワイルドな悪用に気づいていたかは判然としない。だが、サプライチェーンの上流に位置するソフトウェアの脆弱性で、しかも実際に攻撃が観測されていた以上、判断の遅れが下流の事業者と利用者に与えた影響は小さくない。各事業者は緊急のポート遮断と一斉パッチ適用を強いられた。

cPanelを開発するのはWebPros International L.L.C.で、cPanelは世界で最も広く使われているWebホスティング管理パネルのひとつだ。影響範囲を考えれば、開示と事業者連携の在り方は、今後の検証が避けられない。

鍵は「ロケットサイエンスではない」CRLFインジェクション

技術的には、目を見張るような新手法ではない。

cPanelのデーモンcpsrvdは、認証が完了する前にディスク上へセッションファイルを書き出す設計になっている。クライアントにはwhostmgrsessionという形式のクッキーが渡され、本来は:セッション名,16進キーという構造で、後半の16進キーが暗号化に使われる仕組みだ。 暗号化を握る鍵 は、クッキーの後半部分にしか存在しない。

攻撃者がやることは単純だ。クッキーから,16進キーの部分を削り、Basic認証ヘッダー経由で\r\n(CRLF)を生のまま送り込む。鍵がないと暗号化処理が無言で失敗するため、user=rootやtfa_verified=1といった行が そのままセッションファイル に書き込まれる。あとはそのセッションIDで再アクセスすれば、サーバーは管理者として認識する。

CRLFインジェクションは、HTTPヘッダーやログに改行文字を注入して構造を破壊する古典的な攻撃手法だ。何十年も知られている。

その古典が、何百万台ものサーバーの管理面で2026年に通った。二要素認証も素通りする。セッション側で「2FA確認済み」のフラグを直接書き込んでしまえるからだ。

影響を受けるバージョンと修正版

すべてのサポート対象バージョンに加え、WP Squaredも対象に含まれる。

cPanel側はバージョン11.40以降のすべてが影響を受けると訂正している。修正版は以下の通り。

サポート切れの旧バージョンには修正パッチが提供されない。該当する運用がある場合は、サポート対象への移行が必須となる。

利用者がいま確認すべきこと

レンタルサーバーを使っているだけのサイト運営者でも、無関係ではない。共有ホスティングの場合、契約先の事業者がパッチを適用したかが第一の関心事だ。

Namecheap、HostGator、KnownHost、HostPapa、InMotionといった主要事業者は、開示直後にcPanel関連ポート(2083、2087、2095、2096)を一時遮断したうえで、パッチ展開を進めた。日本の利用者でも、海外事業者を直接契約しているケースは少なくない。各事業者の障害情報・告知ページを直接確認するのが確実だ。

自前のVPSでcPanelを運用している場合は話が違う。cPanelの公式手順では、/scripts/upcp --forceでの更新後、/usr/local/cpanel/cpanel -Vでビルド番号を確認し、/scripts/restartsrv_cpsrvdでサービスを再起動するよう求めている。さらに、2月23日以降に侵害された可能性を前提として、/var/cpanel/sessions配下のセッションファイルを点検する必要がある。

cPanel公式は、token_deniedとcp_security_tokenの同居、認証前セッション内の認証属性、不審なtfa_verified状態、複数行のパスワード値といった侵害指標を判定するスクリプトを配布している。痕跡が見つかった場合の対応は、パッチ適用ではなくインシデント対応の領域だ。rootと全WHMユーザーのパスワード強制リセット、ログ監査、cron・SSH鍵・バックドアの確認まで含む。

「管理パネル」という見えづらいレイヤー

エンドユーザーから見ればcPanelは「サーバーを契約したらついてくる管理画面」程度の存在で、その存在自体が意識されることは少ない。だが、サイトのデータベース、メール、設定、コードのすべてを集約しているのはこのレイヤーだ。

ここを抜かれた瞬間、上に乗っているWordPressをいくら堅牢にしても意味をなさなくなる。インターネットの管理面という言葉が、watchTowrの記事タイトルに使われていたのはそのためだ。

米CISAは本脆弱性をKnown Exploited Vulnerabilities(既知の悪用脆弱性)カタログに追加している。連邦機関には期限付きの是正措置が課される。

CISAがKEVに載せるという事実は、米政府が「既に攻撃が成立している」と認定したことを意味する。これは「念のため対応してください」のレベルの話ではない。

技術として目新しさのない欠陥が、世界の管理面で2か月放置されていた。気づいたのは攻撃者が先で、防御側があとだった。この順序こそが、今回の事案でいちばん重い部分だ。

参照元

• Canadian Centre for Cyber Security - AL26-008 (CVE-2026-41940)
• KnownHost Forum - cPanel Zero Day Exploit

他参照

• watchTowr Labs - The Internet Is Falling Down (CVE-2026-41940 technical analysis)
• Rapid7 - CVE-2026-41940: cPanel & WHM Authentication Bypass
• Help Net Security - cPanel zero-day exploited for months before patch release

関連記事

• パッチでは消えないバックドアFIRESTARTER、米Ciscoに潜伏
• Mythos神話の崩壊、オープンソースで同等のバグ発見
• Claude Mythosが越えた一線、サイバー攻防の新段階
• 米CISA長官候補のプランキー、13カ月の審議停滞を経て辞退
• 「危険すぎて公開できない」AIが発表当日に不正アクセスされていた
• Firefox 150、Mythosで脆弱性271件を修正
• 改変版Mythosを連邦機関へ、OMBの解禁と国防排除の併走
• Defenderが悪性ファイルを元の場所に書き戻す奇妙な挙動
• 17年前のExcel脆弱性が現役、CISAが異例の短期警告
• Windows Server 2025の4月更新でBitLocker回復画面が発動──もはや恒例行事か