Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses

A critical security vulnerability has been discovered in cPanel and WHM that allows attackers to completely bypass login security and gain full administrative control of web hosting systems. If you use cPanel or WHM for managing your web hosting infrastructure, immediate action is required.

Description
cPanel and WHM are popular web hosting control panel systems used to manage websites, email, and databases. A severe vulnerability [1] has been found in all versions from 11.40 onwards that allows attackers to bypass the login process entirely through two methods: session forgery using CRLF injection and direct authentication bypass. This means attackers can gain root-level (highest privilege) access to your WHM control panel without needing a username or password, directly from the internet.

Impact
We estimate the impact of this vulnerability as High. An attacker exploiting this vulnerability can:

  • Gain complete administrative control over your web hosting environment with root privileges
  • Access all hosted websites, databases, and customer data
  • Modify or delete any content on the server
  • Install malicious software or backdoors
  • Compromise all websites and services running on the affected system
  • Use your server to attack other systems

This vulnerability affects the core security mechanism (authentication) of systems that are designed to be accessible from the internet, making it extremely dangerous.

Risk
The risk level of this vulnerability is High, as it is currently being exploited in the wild[2]. Additionally, the risk is elevated because:

  • No authentication is required - attackers can exploit this directly from the internet
  • cPanel and WHM systems are internet-facing by design, making them easily discoverable
  • These products are extremely widely used across the hosting industry
  • Successful exploitation gives complete control over the hosting infrastructure
  • A single compromised server can affect multiple customers and websites

Mitigation
cPanel has released security updates that fix this vulnerability. You must update to the latest patched version immediately:

What should you do?

  1. Immediately identify if you are using cPanel or WHM (version 11.40 or later) in your environment
  2. Urgently apply the security updates provided by cPanel - this should be treated as an emergency patch
  3. Review access logs for any unauthorized access to your WHM control panel, particularly looking for unusual login times or sources
  4. Check for any IoCs by using the script provided by cPanel
  5. Verify integrity of hosted websites and databases if you suspect compromise
  6. Contact your hosting provider if you use managed hosting services to confirm they have applied the patches

What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure. We will continue to monitor developments related to this attack. If new critical information arises, we will contact you. If you would like additional information, please feel free to call us or send an email.


E-mail: soc@northwave-cybersecurity.com

Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.


Sources

[1]: https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
[2]: https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/

Er is een kritieke beveiligingskwetsbaarheid ontdekt in cPanel en WHM waarmee aanvallers de inlogbeveiliging volledig kunnen omzeilen en volledige administratieve controle over webhostingsystemen kunnen verkrijgen. Als u cPanel of WHM gebruikt voor het beheer van uw webhostinginfrastructuur, is onmiddellijke actie vereist.

Beschrijving
cPanel en WHM zijn populaire webhosting‑controlepanelen die worden gebruikt voor het beheren van websites, e‑mail en databases. Er is een ernstige kwetsbaarheid [1] gevonden in alle versies vanaf 11.40, waarmee aanvallers het inlogproces volledig kunnen omzeilen via twee methoden: sessievervalsing met behulp van CRLF‑injectie en een directe authenticatie‑bypass. Dit betekent dat aanvallers root‑toegang (het hoogste bevoegdheidsniveau) tot uw WHM‑controlepaneel kunnen verkrijgen zonder gebruikersnaam of wachtwoord, rechtstreeks vanaf het internet.

Impact
Wij schatten de impact van deze kwetsbaarheid in als Hoog. Een aanvaller die deze kwetsbaarheid misbruikt kan:

  • Volledige administratieve controle verkrijgen over uw webhostingomgeving met root‑rechten
  • Toegang krijgen tot alle gehoste websites, databases en klantgegevens
  • Inhoud op de server wijzigen of verwijderen
  • Schadelijke software of achterdeuren installeren
  • Alle websites en diensten op het getroffen systeem compromitteren
  • Uw server gebruiken om andere systemen aan te vallen

Deze kwetsbaarheid treft het kernbeveiligingsmechanisme (authenticatie) van systemen die ontworpen zijn om rechtstreeks vanaf het internet bereikbaar te zijn, wat dit extreem gevaarlijk maakt.RisicoHet risiconiveau van deze kwetsbaarheid is Hoog, aangezien deze momenteel actief wordt misbruikt [2].Daarnaast wordt het risico verhoogd doordat:

  • Er geen authenticatie vereist is – aanvallers kunnen dit direct vanaf het internet misbruiken
  • cPanel- en WHM-systemen standaard internet‑toegankelijk zijn en daardoor eenvoudig te vinden
  • Deze producten zeer wijdverbreid worden gebruikt binnen de hostingindustrie
  • Succesvolle exploitatie volledige controle geeft over de hostinginfrastructuur
  • Eén gecompromitteerde server meerdere klanten en websites kan treffen

Mitigatie
cPanel heeft beveiligingsupdates uitgebracht die deze kwetsbaarheid verhelpen. U moet onmiddelijk updaten naar de meest recente gepatchte versie:

Wat moet u doen?

  1. Stel onmiddellijk vast of u cPanel of WHM (versie 11.40 of hoger) gebruikt binnen uw omgeving
  2. Pas met grote urgentie de door cPanel geleverde beveiligingsupdates toe – behandel dit als een noodpatch
  3. Controleer toegangslogs op ongeautoriseerde toegang tot uw WHM‑controlepaneel, met name op ongebruikelijke inlogtijden of herkomst
  4. Controleer op IoC’s met behulp van het door cPanel beschikbare script
  5. Verifieer de integriteit van gehoste websites en databases als u een compromittering vermoedt
  6. Neem contact op met uw hostingprovider als u gebruikmaakt van managed hosting om te bevestigen dat de patches zijn toegepast

Wat gaat Northwave doen?
Klanten van Vulnerability Management worden geïnformeerd indien kwetsbare systemen in hun infrastructuur worden gedetecteerd.Wij blijven de ontwikkelingen rondom deze aanval volgen. Mocht er nieuwe kritieke informatie beschikbaar komen, dan nemen wij contact met u op.


E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000

Disclaimer van toepassing, zie onderaan.

Bronnen
[1]: https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
[2]: https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940

 

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.

.