Meer dan 40.000 servers zijn waarschijnlijk gecompromitteerd door een lopende exploitatiecampagne gericht op een recent gepatchte zero-day kwetsbaarheid in cPanel. De non-profitorganisatie The Shadowserver Foundation meldt dat kwaadwillenden misbruik maken van CVE-2026-41940, een kritieke authenticatie-omzeilingsfout in cPanel & WebHost Manager (WHM), een platform voor server- en sitebeheer.

Deze kwetsbaarheid, openbaar gemaakt op 28 april, stelt onbevoegde aanvallers in staat om administratieve toegang tot cPanel te verkrijgen. Hierdoor kunnen zij het host-systeem overnemen en alle configuraties, databases en websites die via het platform worden beheerd, compromitteren. De exploit maakt gebruik van speciale tekens in autorisatieheaders om parameters naar een sessiebestand te schrijven, waarna het sessiebestand wordt herladen om in te loggen met geïnjecteerde beheerdersreferenties.

De kwetsbaarheid CVE-2026-41940 werd vermoedelijk al sinds eind februari als zero-day misbruikt, met een sterke toename van activiteit na de publieke bekendmaking en na publicatie van technische details door het threat intelligence bedrijf WatchTowr. Vorige week waarschuwde Rapid7 dat er ongeveer 1,5 miljoen cPanel-instanties direct vanaf het internet toegankelijk zijn. Op vrijdag rapporteerde The Shadowserver Foundation tienduizenden mogelijk gecompromitteerde systemen, gebaseerd op een piek in het aantal unieke IP-adressen dat probes, exploits en brute force-aanvallen uitvoerde op hun honeypots. Volgens de data van The Shadowserver Foundation is dit aantal sinds 3 mei aanzienlijk gedaald. De meeste getroffen systemen bevinden zich in de Verenigde Staten, gevolgd door Frankrijk en Nederland.

Alle cPanel-versies vanaf 11.40 zijn kwetsbaar. Gebruikers wordt dringend geadviseerd om zo snel mogelijk te updaten naar een gepatchte versie en de instructies van cPanel te volgen om mogelijke compromitteringen te identificeren en te verhelpen. De fixes zijn opgenomen in cPanel & WHM versies 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 en 11.136.0.5, evenals WP Squared versie 136.1.7. De Amerikaanse cybersecurityorganisatie CISA heeft CVE-2026-41940 toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus en dringt er bij federale instanties op aan om binnen vier dagen te patchen.