除最新版本的 cPanel 和 WebHost Manager (WHM) 控制面板外，其他所有版本都存在一個嚴重漏洞，攻擊者可以利用漏洞在未經驗證的情況下存取控制面板。此安全問題目前被識別為CVE-2026-41940，嚴重性評分為 9.8，已透過緊急更新解決，需要手動執行命令來取得已修補的軟體版本。

WHM 和 cPanel 均由 WebPros International 擁有，是基於 Linux 的網站寄存控制面板，用於伺服器和網站管理。 WHM 提供伺服器層級的控制，而 cPanel 則提供管理員對網站後台、網路郵件和資料庫的存取權限。這兩款產品都是應用最廣泛的主機控制面板之一，因其標準化的介面、對非技術用戶的易用性以及與常見主機堆疊的深度整合而受到許多主機提供者的歡迎。

雖然尚未公開任何技術細節，但該問題的嚴重性似乎相當嚴重，因為 Namecheap 暫時阻止了對 WHM 和 cPanel 使用的 2083 和 2087 端口的存取，以保護客戶，直到補丁可用為止。主機提供者表示，該漏洞「與身分驗證登入漏洞有關，可能允許未經授權存取控制面板」。

為了安裝安全版本，供應商建議管理員執行命令 /scripts/upcp –force，該命令會執行 cPanel 更新過程，並強制執行，即使系統認為它已經在運行最新版本。執行不支援的 cPanel 版本的伺服器無法獲得安全更新。在這種情況下，建議管理員盡快升級到受支援的版本。

攻擊者一旦獲得 cPanel 的存取權限，就能控制主機帳號中的所有內容，包括網站、資料和電子郵件。他們可以利用這種存取權限植入後門或 Web Shell，將使用者重定向到惡意網站，竊取敏感文件，發送垃圾郵件或釣魚郵件，或從設定檔中竊取密碼。

WHM 提供整個伺服器及其託管的所有網站的存取權限。這意味著攻擊者可以建立和刪除 cPanel 帳戶，在機器上建立持久存取權限，並將其用於各種惡意活動（例如，代理流量、垃圾郵件、惡意軟體傳播、殭屍網路）。使用受影響管理介面的網站擁有者應確保已更新至已修補的版本。

資料來源：https://www.bleepingcomputer.com/news/security/cpanel-whm-emergency-update-fixes-critical-auth-bypass-bug/