Les chercheurs en sécurité tirent la sonnette d’alarme sur une vulnérabilité récemment découverte dans les logiciels de gestion de serveur Web largement utilisés cPanel et WebHost Manager (WHM).
Le bug permet aux pirates de détourner et de prendre le contrôle total des serveurs exécutant le logiciel concerné, qui serait utilisé par des dizaines de millions de propriétaires de sites Web dans le monde.
De nombreuses sociétés d’hébergement Web commerciales ont déjà corrigé les systèmes de leurs clients. Mais le fabricant de cPanel a exhorté ses clients à s’assurer que leurs systèmes sont corrigés, car le bug affecte toutes les versions prises en charge du logiciel.
cPanel et WHM sont deux suites logicielles utilisées pour gérer les serveurs Web qui hébergent des sites Web, gèrent les e-mails et gèrent les configurations et bases de données importantes nécessaires à la maintenance d’un domaine Internet. Les deux suites disposent d’un accès approfondi aux serveurs qu’elles gèrent, permettant à un pirate informatique malveillant d’accéder potentiellement sans restriction aux données gérées par le logiciel concerné.
Le bug, officiellement identifié comme CVE-2026-41940, permet aux pirates malveillants de contourner à distance son écran de connexion pour obtenir un accès complet au panneau d’administration du logiciel.
Compte tenu de l’omniprésence des logiciels cPanel et WHM dans le secteur de l’hébergement Web, les pirates pourraient compromettre potentiellement un grand nombre de sites Web qui n’ont pas corrigé le bug.
L’agence nationale de cybersécurité du Canada a déclaré dans un avis que le bug pourrait être exploité pour compromettre des sites Web sur des serveurs d’hébergement partagés, tels que ceux des grandes sociétés d’hébergement Web.
L’agence a déclaré que « l’exploitation est hautement probable » et qu’une action immédiate de la part des clients de cPanel, ou de leurs hébergeurs, est nécessaire pour empêcher tout accès malveillant.
Le géant de l’hébergement Web Namecheap, qui utilise cPanel pour permettre à ses clients de gérer leurs serveurs Web, a déclaré que la société avait bloqué l’accès aux panneaux cPanel de ses clients après avoir pris connaissance de la faille afin d’empêcher toute exploitation et de lui donner le temps de corriger les systèmes de ses clients.
HostGator a également déclaré avoir corrigé ses systèmes et considère le bug comme un « exploit critique de contournement de l’authentification ».
Une société d’hébergement Web affirme avoir trouvé des preuves que des pirates informatiques abusaient de cette vulnérabilité depuis des mois avant que les tentatives ne soient découvertes.
Le PDG de KnownHost, Daniel Pearson, a déclaré dans un article sur Reddit que son entreprise avait été témoin de tentatives d’exploitation de la vulnérabilité dès le 23 février. La société a déclaré qu’elle avait également brièvement commencé à bloquer l’accès aux systèmes des clients avant d’appliquer des correctifs.
Selon Pearson, environ 30 serveurs de KnownHost ont montré des signes de tentatives d’accès non autorisées sur des milliers d’ordinateurs de son réseau. Pearson a apprécié les efforts et les tentatives et n’a vu aucun signe de compromis actif. cPanel a également déclaré avoir déployé un correctif de sécurité pour WP Squared, un outil similaire pour la gestion des sites Web WordPress.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
