CVE-2026-41940 とは
CVE-2026-41940 は、レンタルサーバーの管理パネルとして広く使われる cPanel & WHM(および WP Squared)に存在した 認証バイパス(authentication bypass)脆弱性です。CVSS は 9.8(Critical)で、攻撃者が認証情報なしで管理者(root 相当)として WHM にログインできてしまうという極めて重大なものでした。
WHM はサーバー全体を司る管理画面のため、ここを乗っ取られると ホスト本体・各種設定・データベース・そのサーバーが配信するすべてのウェブサイトが攻撃者の手に落ちます。Shodan ベースで約150万のインスタンスがインターネットに露出していたと報じられ、影響範囲の広さからも大きな注目を集めました。
仕組み: セッションCookieへのCRLFインジェクション
cPanel / WHM はログイン状態をセッションファイルで管理し、ブラウザには whostmgrsession のようなセッションCookieを発行します。本来このCookieは改ざんを防ぐために暗号化・検証される設計でした。
本脆弱性の本質は、このセッションの組み立て処理における入力検証の不備(CRLFインジェクション)です。攻撃者がCookieの構造を細工して本来必須の検証セグメントを省くと、暗号化・検証を回避でき、セッションファイルへ任意のプロパティを注入できてしまいました。概念的には、セッション内に次のような「権限を表す属性」を埋め込むイメージです(実際の攻撃コード・PoC は本記事では扱いません)。
# 概念図(攻撃手法は概念レベルに留めています)
セッションに注入される属性の例:
user = root ← 管理者として認証されたことにする
authenticated = 1結果として、攻撃者はパスワードもトークンも知らないまま、root としてログイン済みのセッションを作り出せました。CRLF(キャリッジリターン+ラインフィード、\r\n)のような制御文字を入力検証で弾かなかったことが根本原因で、いわゆる「インジェクション」系の典型的な構造的欠陥です。
なぜ深刻だったのか(時系列)
この脆弱性はパッチ公開のはるか前から「ゼロデイ」として悪用されていた点が特に深刻でした。公開情報を時系列で整理すると次の通りです。
- 2026年2月23日頃: 野良(in the wild)での悪用が初めて観測される。当初は本格的な攻撃というより「アクセスできるか確認する探索的なプロービング」が中心だったと報告。
- 2026年4月28日: ベンダー(WebPros / cPanel)がセキュリティアドバイザリとパッチを公開。
- 2026年4月29日: セキュリティ研究者による技術解析が公開され、悪用のハードルが下がる。
- 2026年4月30日: 米 CISA がKEV(Known Exploited Vulnerabilities)カタログに追加。米連邦機関に期限付きパッチ適用を指示。
- 2026年5月初旬: 複数の攻撃者による悪用が確認され、本格的なエクスプロイトフェーズへ。
つまり修正版が出る約2か月前から穴が開いていたことになります。「パッチが出てから慌てて当てる」だけでは守りきれない、という典型的なケースでした。
影響範囲と修正版
実質的にv11.40 以降のほぼすべての cPanel & WHMと、WP Squared が影響を受けました。ベンダーは複数のサポート対象ブランチに対して修正版をリリースしています(公開アドバイザリ時点の主な修正版)。
cPanel & WHM ブランチ 修正版
110.0.x → 11.110.0.97
118.0.x → 11.118.0.63
126.0.x → 11.126.0.54
132.0.x → 11.132.0.29
134.0.x → 11.134.0.20
136.0.x → 11.136.0.5
WP Squared → 136.1.7cPanel は自動更新(automatic updates)が有効なら多くのサーバーで自動適用されますが、自動更新を切っている環境や古いブランチに固定している環境では取り残されがちです。露出インスタンスが150万規模だったのは、まさにこの「更新されない長い尾(ロングテール)」が原因でした。
あなたのサーバーは大丈夫か(確認手順)
cPanel / WHM を自分で管理している(VPS・専用サーバー等)場合と、共用レンタルサーバーを借りているだけの場合で対応が変わります。
サーバー管理者(root 権限がある人)
- バージョンを確認する。WHM の表示、または
/usr/local/cpanel/cpanel -Vで現在の版を把握する。 - 上記の修正版以上であることを確認。満たしていなければ即アップデートする。
- 自動更新を有効化しておく(WHM → Update Preferences)。今後の緊急パッチも自動で入る。
- WHM/cPanel を不特定多数に晒さない。管理ポート(2087/2083 等)はIP 制限・VPN・ファイアウォールで絞り、可能なら公開しない。
共用レンタルサーバーの利用者
- パッチ適用はホスティング事業者側の責任。事業者の障害情報・セキュリティ告知を確認する。
- 念のためcPanel と各サービスのパスワードを変更し、心当たりのないユーザー・メール転送・cron・FTPアカウントが追加されていないか点検する。
- 可能なら2要素認証(2FA)を有効化する。
侵害が疑われたら
認証バイパス系は「正規のログインに見える」ため痕跡が残りにくいのが厄介です。悪用期間(2月以降)にパッチ未適用だったサーバーは、すでに侵入されている前提で点検するのが安全です。
- 全アカウントのパスワードと API トークンをローテーションする(cPanel ユーザー、root、DB、メール等)。
- 身に覚えのない WHM/cPanel アカウント・cron・SSH 鍵・Webシェルが仕込まれていないか確認する。
- アクセスログ・認証ログで不審なセッションや管理操作がないか調べる。
- 改ざんや永続化が疑われる場合は、クリーンな環境で再構築し、検証済みバックアップから復旧する。
この事例からの教訓
- 認証は「検証の連鎖」。セッションCookieのような信頼境界をまたぐ入力は、制御文字を含めて厳格に検証・正規化しなければならない。入力検証の不備は RCE 級の被害につながる。
- 「パッチ待ち」では守れない。ゼロデイは公表前から悪用される。管理画面をそもそもインターネットに晒さない(IP制限・VPN)多層防御が効く。
- 自動更新と資産管理。「今どのバージョンが動いているか」を即答できる状態を保ち、緊急パッチが自動で当たる構成にしておく。
OWASP でいえば A07:2021 - Identification and Authentication Failures(識別と認証の失敗)およびインジェクション(A03)に直結するテーマです。詳しくは OWASP Top 10 入門、関連手口は パストラバーサル・SSRF の解説も合わせてご覧ください。同時期の大型サプライチェーン事例は Shai-Hulud 詳解 で扱っています。
なお当サイト(secutils.jp)は cPanel ではなく Vercel / Next.js 上で動いており、本脆弱性の影響は受けません。