Kritična ranjivost u cPanel-u (CVE-2026-41940): Šta trebate znati i kako se zaštititi

Svet veb hostinga potresla je vest o ozbiljnom bezbednosnom propustu u cPanel & WHM softveru, identifikovanom kao CVE-2026-41940. Ova ranjivost, sa kritičnom ocenom ozbiljnosti od 9.8/10, omogućava napadačima da potpuno zaobiđu autentifikaciju i preuzmu kontrolu nad serverima bez poznavanja korisničkog imena ili lozinke.

Što je još alarmantnije, potvrđeno je da se ovaj propust aktivno iskorišćava “u divljini” (in the wild) još od februara 2026. godine, što znači da je mesecima postojao kao zero-day pre nego što je zvanična zakrpa objavljena 28. aprila 2026..

Šta je CVE-2026-41940 i kako funkcioniše?

Tehnički gledano, problem leži u CRLF injekciji (Carriage Return Line Feed) unutar procesa prijave i upravljanja sesijama.

Manipulacija sesijom: Napadač šalje posebno dizajniran zahtev koji “zbuni” server tokom kreiranja datoteke sesije.

Ubrizgavanje atributa: Korišćenjem kontrolnih karaktera (novi red), napadač može upisati sopstvene podatke u privremenu datoteku sesije na serveru.

Eskalacija privilegija: Napadač može umetnuti parametre poput user=root, čime sistem počinje da tretira tu sesiju kao legitimnu sesiju administratora sa punim pravima, preskačući proveru lozinke.

Zašto je ovo opasno?

cPanel je jedan od najpopularnijih kontrolnih panela na svetu, koji upravlja desetinama miliona domena. Uspešan napad omogućava:

Potpunu kontrolu nad serverom: Napadač dobija root pristup preko WHM-a (Web Host Manager).

Krađu podataka: Pristup bazama podataka, e-pošti i privatnim fajlovima svih korisnika na serveru.

Ubrizgavanje malvera: Server se može iskoristiti za širenje virusa, phishing kampanje ili kao deo botneta.

Brisanje podataka: Mogućnost totalnog brisanja sadržaja sa servera (server wipe).

Ko je pogođen?

Ranjivost pogađa sve podržane verzije cPanel & WHM nakon 11.40, kao i proizvod WP Squared. Procenjuje se da je preko 1,5 miliona instanci direktno izloženo internetu i potencijalno ugroženo.

Hitne mere zaštite

Ako upravljate sopstvenim serverom ili koristite deljeni hosting, preduzmite sledeće korake:

Odmah ažurirajte softver:
 Instalirajte neku od zakrpljenih verzija (npr. 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.134.0.20 ili novije).

Komanda za prisilno ažuriranje: /scripts/upcp –force.

Nakon ažuriranja obavezno restartujte cPanel servis: /scripts/restartsrv_cpsrvd –hard.

Proverite tragove upada:
 cPanel je objavio skriptu za detekciju koja proverava datoteke sesija na prisustvo sumnjivih artefakata (poput neočekivanih novih redova u fajlovima sesije).

Privremena blokada portova:
 Ako niste u mogućnosti da odmah primenite zakrpu, preporučuje se blokiranje dolaznog saobraćaja na portovima 2083, 2087, 2095 i 2096 na nivou mrežnog zaštitnog zida (firewall).

Promena lozinki i ključeva:
 Budući da je propust korišćen kao zero-day, preporučuje se resetovanje root lozinke, API tokena i SSH ključeva, jer su podaci možda već kompromitovani pre instalacije zakrpe.

Kontaktirajte hosting provajdera:
 Ako koristite shared hosting, proverite sa podrškom da li su njihovi serveri ažurirani. Veliki provajderi poput Namecheap, KnownHost i InMotion su već preduzeli hitne mere.

Ovaj incident je još jedan podsetnik na važnost redovnog održavanja i brzog reagovanja na bezbednosna upozorenja. Ostanite sigurni i proverite svoje sisteme danas.