CPanelSniper: Exploit PoC revelado para la vulnerabilidad de cPanel, 44.000 servidores comprometidos

Se ha lanzado públicamente un marco de exploit de prueba de concepto (PoC) armado denominado “cPanelSniper” para CVE-2026-41940, una omisión de autenticación de máxima gravedad en cPanel y WHM que ya ha comprometido decenas de miles de servidores en todo el mundo con actividad de ataque rastreada desde finales de febrero de 2026. CVE-2026-41940 es una falla crítica previa a la autenticación en cómo el módulo Session.pm de cPanel maneja los encabezados de autorización HTTP durante el inicio de sesión.

CPanel reveló el problema el 28 de abril de 2026 y emitió parches de emergencia el mismo día, pero la exploit ya estaba en marcha activamente. cPanelSniper: cadena de exploit de cuatro etapas Lanzado públicamente en GitHub por el investigador de seguridad Mitsec (@ynsmroztas), cPanelSniper automatiza la exploit a través de una cadena de ataque precisa de cuatro etapas: Etapa 1: crea una sesión WHM previa a la autenticación utilizando credenciales intencionalmente no válidas, obteniendo una cookie de sesión whostmgrsession Etapa 2: inyecta la payload CRLF a través de una autorización diseñada: encabezado básico, lo que hace que cpsrvd escriba envenenado campos de sesión al disco Etapa 3: activa el dispositivo interno do_token_denied a través de /scripts2/listaccts, descargando datos de sesión sin procesar en el caché y activando los campos inyectados Etapa 4: verifica el acceso raíz completo a WHM consultando /json-api/version, devolviendo HTTP 200 y confirmando un estado "PWNED" La herramienta no requiere dependencias externas; Es Python 3.8+ stdlib puro y admite escaneo masivo, integración de canalizaciones con herramientas como Subfinder y Shodan, acceso interactivo al shell WHM y acciones posteriores a la exploit que incluyen ejecución de comandos, enumeración de cuentas y creación de administradores de puerta trasera. Ataques de cPanel/WHM CVE-2026-41940 en curso, con al menos 44 000 IP probablemente comprometidas y vistas escaneando nuestros honeypots el 30 de abril de 2026. Siga las instrucciones más recientes para rastrear compromisos y parches: https://t.co/z4sRvdaBwt Consulte el panel público para obtener estadísticas: https://t.co/qFz265JDIK pic.twitter.com/m1aZvFEVlU — The Shadowserver Foundation (@Shadowserver) 1 de mayo de 2026 La actividad de exploit se remonta al menos al 23 de febrero de 2026, lo que indica que los atacantes estaban explotando este zero-day aproximadamente dos meses antes de que existiera cualquier parche.

CISA agregó CVE-2026-41940 a su catálogo de vulnerabilidades explotadas conocidas (KEV) el 1 de mayo de 2026. La publicación cPanelSniper – Exploit PoC revelado para vulnerabilidad de cPanel, 44,000 servidores comprometidos apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗