Tecnologia

Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque

La falla era già sotto attacco prima che cPanel riuscisse a rilasciare la patch. I grandi provider hanno staccato l'accesso alle porte di amministrazione mentre distribuivano l'aggiornamento — il resto di internet è ancora in fase di rincorsa.
Un bug di login ha lasciato 70 milioni di siti cPanel aperti a chiunque
cPanel bug
Susan Hill
29 Aprile 2026

Un grave bug di bypass dell’autenticazione in cPanel e WHM permetteva agli aggressori di entrare dalla porta principale di qualsiasi pannello di controllo esposto a internet senza bisogno di nome utente né password. La vulnerabilità, classificata come CVE-2026-41940 con un punteggio CVSS di 9,8 su 10, colpisce tutte le versioni supportate del software, che gestisce circa 70 milioni di domini in tutto il mondo. I ricercatori di sicurezza confermano che gli exploit erano già in circolazione quando è uscita la patch d’emergenza — per molti hosting la domanda non è più se i loro server fossero vulnerabili, ma se siano stati compromessi prima di poter aggiornare.

Il bug si trova nella logica di caricamento e salvataggio delle sessioni di cPanel, tracciato internamente come CPANEL-52908. In termini pratici, un aggressore poteva inviare una richiesta di login malformata e ricevere credenziali di sessione valide per un account a cui non si era mai autenticato — incluso, nel peggiore dei casi, accesso di root a WHM, il pannello lato server che controlla account di hosting, instradamento email, certificati SSL e database. Sei rami di versione hanno richiesto patch urgente: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 e 11.136.0.5. I server che ancora eseguono versioni di cPanel fuori supporto non riceveranno nessuna patch e devono essere trattati come attivamente compromessi.

cPanel è lo strato standard di pannello di controllo per l’infrastruttura di hosting condiviso che regge gran parte del web di consumo. Una violazione riuscita su un singolo server cPanel può propagarsi a migliaia di siti a valle — tutti i domini ospitati su quella macchina, più la loro posta, i loro database e i file dei clienti. Il team di ricerca di watchTowr Labs ha descritto i sistemi colpiti come il piano di gestione di una porzione significativa di internet, e un provider, KnownHost, ha confermato che lo sfruttamento era già in corso prima che venisse pubblicato qualsiasi avviso.

Lo strato d’identità che internet non ha mai avuto si costruisce adesso, sotto pressione sintetica

Namecheap, uno dei più grandi reseller sulla piattaforma, ha preso la misura insolita di bloccare temporaneamente l’accesso alle porte 2083 e 2087 — i punti d’ingresso web di cPanel e WHM — per tutti i clienti durante il rollout della patch. Quando l’aggiornamento ha raggiunto le flotte Reseller e Stellar Business della società, la piattaforma era stata di fatto buia dall’esterno per diverse ore. Altri grandi provider hanno pubblicato avvisi simili, raccomandando ai clienti di eseguire /scripts/upcp –force come root per forzare l’aggiornamento invece di aspettare la finestra di manutenzione automatica.

L’allarme va letto con cautela. cPanel stessa non ha pubblicato dettagli tecnici approfonditi sulla vulnerabilità — la maggior parte dell’analisi pubblica viene da ricercatori esterni che hanno fatto reverse engineering della patch, il che significa che i requisiti precisi per lo sfruttamento restano in parte velati. La cifra dei “70 milioni di domini” è una stima storica del materiale di marketing di cPanel stessa e include account di hosting condiviso in cui un solo server di pannello gestisce migliaia di siti; il numero reale di server unici colpiti è molto inferiore. E benché lo sfruttamento sia confermato prima della patch, non è ancora stata resa pubblica nessuna grande violazione attribuita a questa CVE — la cosa potrà cambiare nelle prossime settimane, mentre si chiudono le indagini forensi, oppure no.

L’episodio rientra in uno schema che i ricercatori di sicurezza segnalano da anni: il livello di gestione dell’hosting di consumo è uno dei bersagli a maggior valore e minor scrutinio dell’intera internet. Un difetto in un singolo componente del pannello di controllo può consegnare a un aggressore le chiavi di migliaia di siti piccoli e di PMI scarsamente difesi tutti insieme, senza catene di sfruttamento esotiche. I bug di bypass dell’autenticazione nei software della categoria cPanel valgono parecchio nei mercati oscuri, e il divario tra divulgazione e copertura completa delle patch si misura in settimane per i server indipendenti non gestiti — molto dopo che il ciclo pubblico delle notizie è andato avanti.

cPanel ha rilasciato le patch d’emergenza il 28 aprile, e Namecheap insieme ad altri grandi provider ha completato il rollout nelle prime ore del 29 aprile. Gli amministratori di server cPanel o WHM dovrebbero verificare immediatamente di trovarsi su una delle build patchate e trattare come potenzialmente compromesso qualsiasi server che, nei giorni precedenti la patch, abbia avuto una versione vulnerabile esposta a internet. cPanel non si è impegnata a pubblicare un report post-incidente pubblico.

Altri articoli simili

Hexstrike-AI: L’Alba dello Sfruttamento Autonomo di Vulnerabilità Zero-Day

Hexstrike-AI: L’Alba dello Sfruttamento Autonomo di Vulnerabilità Zero-Day

Maestro: il gioco di direzione d’orchestra VR si espande con Star Wars e l’uscita su PSVR2

Maestro: il gioco di direzione d’orchestra VR si espande con Star Wars e l’uscita su PSVR2

Mecha Party: il gioco di battaglia mech in VR di KingNet si espande in Europa, Asia e Giappone

Mecha Party: il gioco di battaglia mech in VR di KingNet si espande in Europa, Asia e Giappone

L’Europa entra nell’era exascale con il supercomputer JUPITER

L’Europa entra nell’era exascale con il supercomputer JUPITER

Cultura pop e tecnologia dell’intrattenimento

Cultura pop e tecnologia dell’intrattenimento

E “Il Grande Fratello” è già qui

E “Il Grande Fratello” è già qui

Discussione

Ci sono 0 commenti.