iSee857/cPanel-WHM-CVE-2026-41940-AuthBypass

**CVE-2026-41940 cPanel & WHM Authentication Bypass Scanner** ## ⚠️ 法律免责声明 **本工具仅限授权安全测试和教育目的使用。使用者需遵守所在地法律法规，严禁对未授权系统进行扫描。作者不对任何滥用行为负责。** ## 🔥 漏洞概述 | 项目 | 详情 | |------|------| | **CVE ID** | CVE-2026-41940 | | **漏洞名称** | cPanel & WHM Session File CRLF Injection | | **危害等级** | 🔴 CRITICAL (CVSS 9.8) | | **影响版本** | cPanel & WHM < 11.110.0.97 / 11.118.0.63 / 11.126.0.54 / 11.132.0.29 / 11.134.0.20 / 11.136.0.5 | | **漏洞类型** | 认证绕过 → Root权限获取 | | **利用难度** | 低 | ### 漏洞原理 cPanel & WHM 在处理会话文件时存在逻辑缺陷： 1. `saveSession()` 函数在**写入会话文件后**才调用 `filter_sessiondata()` 2. 攻击者可构造包含 CRLF 注入的 `Authorization: Basic` 头 3. 恶意载荷直接写入磁盘会话文件，注入 `hasroot=1`、`tfa_verified=1` 等字段 4. 最终绕过 WHM 身份验证，获得 root 级访问权限 ## ✨ 功能特性 ✅ **精准检测** - 严格复现原始漏洞利用链 ✅ **无依赖** - 仅使用 Python 标准库 ✅ **多线程** - 支持批量扫描 ✅ **代理支持** - 兼容 Burp Suite/Owasp ZAP ✅ **智能解析** - 自动补全协议和端口 ✅ **高亮输出** - 漏洞结果红色醒目提示 ### 检测流程（4 Stages） [1] POST /login/?login_only=1 → 获取预认证会话 [2] GET / + CRLF注入 → 污染会话文件 [3] GET /scripts2/listaccts → 触发缓存刷新 [4] GET /cpsess/token/json-api/version → 验证Root权限 ## 🚀 快速开始 ### 环境要求 - Python 3.6+ ### 下载脚本 wget https://github.com/iSee857/cPanel-WHM-CVE-2026-41940-AuthBypass/blob/main/cPanel-WHM-CVE-2026-41940-AuthBypass.py chmod +x cPanel-WHM-CVE-2026-41940-AuthBypass.py ## 📖 使用说明 ### 单目标检测 # 自动补全 https:// python3 cPanel-WHM-CVE-2026-41940-AuthBypass.py -u 1.2.3.4:2087 # 指定完整URL python3 cPanel-WHM-CVE-2026-41940-AuthBypass.py -u https://example.com:2087 ### 批量检测 # 从文件读取目标 python3 cPanel-WHM-CVE-2026-41940-AuthBypass.py -f targets.txt -t 20 # targets.txt 格式： # 1.2.3.4:2087 # example.com:2087 # https://test.com:2087 ### 代理检测（配合Burp Suite） # 使用HTTP代理 python3 cPanel-WHM-CVE-2026-41940-AuthBypass.py -u 1.2.3.4:2087 --proxy http://127.0.0.1:8080 # 批量扫描通过代理 python3 cPanel-WHM-CVE-2026-41940-AuthBypass.py -f targets.txt --proxy http://127.0.0.1:8080 -t 5 ### 常用参数 | 参数 | 说明 | 示例 | |------|------|------| | `-u, --url` | 单个目标 | `-u 1.2.3.4:2087` | | `-f, --file` | 目标列表文件 | `-f targets.txt` | | `-t, --threads` | 线程数（默认10） | `-t 20` | | `--timeout` | 超时时间（默认10秒） | `--timeout 15` | | `--proxy` | HTTP/HTTPS代理 | `--proxy http://127.0.0.1:8080` | ## 📊 输出示例 ### 漏洞存在（红色高亮） 13:45:01 [SCAN] Testing 1.2.3.4:2087 13:45:02 [INFO] Got session: 9f3a2c1b8d... 13:45:02 [INFO] Got token: /cpsess1234567890 13:45:03 [VULN] CVE-2026-41940 CONFIRMED! 1.2.3.4:2087 ### 漏洞不存在 13:46:01 [SCAN] Testing 5.6.7.8:2087 13:46:02 [ERR ] Failed to get session 5.6.7.8:2087 ## 🔍 漏洞验证说明 脚本通过以下逻辑确认漏洞： 1. **会话获取**：成功获取 `whostmgrsession` Cookie 2. **Token提取**：响应中包含 `/cpsess{digit}` 路径 3. **权限验证**：访问 `/json-api/version` 返回 200 且包含 `"version"` 字段 ⚠️ **注意**：部分目标可能返回 500/503 并显示 "License"，这仍表示认证绕过成功，只是缺少商业授权。 ## 🛡️ 修复建议 **立即升级到以下安全版本：** - 11.110.0.97+ - 11.118.0.63+ - 11.126.0.54+ - 11.132.0.29+ - 11.134.0.20+ - 11.136.0.5+ **临时缓解措施：** 1. 限制 WHM 端口（2087）的访问IP 2. 启用防火墙规则 3. 监控 `/var/cpanel/sessions/` 目录异常变化 ## 🙏 参考致谢 https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/ ## ⚠️ 再次强调 **Star ⭐ 本项目，获取更多安全工具更新！**

标签：AuthBypass, CISA项目, cPanel, CRLF注入, CVE-2026-41940, Maven, PoC, Python, Root权限获取, Web安全, Web报告查看器, WHM, 代理支持, 加密, 告警, 无后门, 暴力破解, 漏洞扫描器, 漏洞验证, 网络安全, 蓝队分析, 认证绕过, 逆向工具, 隐私保护, 高危漏洞