zedxod/CVE-2026-41940-POC

CVE-2026-41940 – cPanel/WHM 身份验证绕过 PoC 此仓库包含 CVE-2026-41940 的概念验证 (PoC) 漏洞利用代码，演示了通过 CRLF 注入和会话投毒在 cPanel/WHM 中实现多步骤身份验证绕过的过程。 免责声明： 本代码仅用于教育和授权安全测试。切勿对您不拥有或未获得明确测试授权的系统使用本代码。 概述 此 PoC 复现了基于 Hadrian 和 watchTowr 观察到的技术的真实漏洞利用链。 该漏洞允许攻击者： 通过 CRLF 注入任意会话数据 投毒服务器端会话文件 绕过身份验证 获取 WHM API 的 root 级别访问权限 工作原理 该漏洞利用遵循 4 个步骤的过程： 1. 获取预认证会话 使用无效凭据发送登录请求 提取有效的会话 cookie (whostmgrsession / cpsession) 2. 注入 CRLF Payload 发送特制的 Authorization 请求头 (base64 编码) 将恶意键值对注入会话文件 注入的 payload 包括： user=root hasroot=1 tfa_verified=1 cp_security_token=/cpsessXXXXXXXXXX 3. 触发会话重建 强制 cPanel 重写会话文件 可能会保留注入的恶意值 4. 验证身份验证绕过 调用 WHM API endpoint： /json-api/version?api.version=1 如果成功： 返回 HTTP 200 确认拥有 root 级别访问权限 使用方法 前提条件 Python 3.x requests 库 安装依赖： pip install requests 运行漏洞利用 python3 exploit.py --host 可选标志： --ssl 使用 HTTPS --port 指定自定义端口 --verbose 启用调试输出 示例 python3 exploit.py --host example.com --ssl --port 2087 --verbose 预期输出 成功的漏洞利用： [+] SUCCESS! Authenticated as root via CVE-2026-41940. [+] Cookie: whostmgrsession=... [+] Admin URL: https://target:2087/cpsess.../json-api/version?api.version=1 可靠性说明 该漏洞利用最多重试 5 次 原因如下： Perl 中随机的哈希迭代 可能覆盖已注入的会话值 缓解措施 如果您是系统管理员： 立即应用最新的 cPanel/WHM 补丁 阻止 CRLF 注入攻击向量 使用 WAF 规则过滤和清理请求头 监控异常的会话文件写入 技术细节 该漏洞存在于： 对会话数据的处理不当 请求头解析中缺乏清理机制 不安全的会话文件序列化 该漏洞利用滥用了： Authorization 请求头注入 Base64 编码的 CRLF payload 会话重建逻辑 法律声明 此 PoC 按“原样”提供，用于： 安全研究 防御性测试 教育目的 未经授权的使用可能违反相关法律法规。

标签：0day漏洞, API安全, CISA项目, cPanel, CRLF注入, CVE-2026-41940, HTTP请求走私, JSON输出, PoC, Python, Root访问, Web安全, WHM, 会话中毒, 协议分析, 安全测试, 攻击性安全, 数据展示, 无后门, 暴力破解, 权限提升, 红队, 网络安全, 蓝队分析, 认证绕过, 隐私保护