安全研究人员近期就广泛使用的网络服务器管理软件cPanel及WebHost Manager(WHM)中发现的一个新型漏洞发出警告。
该漏洞使黑客能够劫持并完全控制运行受影响软件的服务器。据估计,全球数千万网站所有者在使用这款软件。
目前,多家商业虚拟主机服务商已为其客户的系统打上补丁。但cPanel的开发方也敦促用户确认系统已完成修复,因为该漏洞影响所有受支持的软件版本。
cPanel与WHM是两套用于管理网络服务器的软件,负责托管网站、管理电子邮件,以及处理维护互联网域名所需的重要配置与数据库。这两套软件对其所管理的服务器拥有深度访问权限,这意味着恶意黑客一旦得手,就可能对受影响软件所管理的数据实现无限制访问。
该漏洞的官方编号为CVE-2026-41940,允许恶意黑客远程绕过登录界面,从而获取软件管理面板的完整访问权限。
鉴于cPanel与WHM软件在虚拟主机行业的广泛普及,黑客有可能入侵大量尚未修复该漏洞的网站。
加拿大国家网络安全机构在一份安全公告中指出,该漏洞可被用于入侵共享托管服务器上的网站,例如大型虚拟主机服务商的服务器。该机构表示,"漏洞被利用的可能性极高",cPanel用户或其网络托管商必须立即采取行动,以防止恶意访问。
虚拟主机巨头Namecheap使用cPanel为客户提供服务器管理功能。该公司表示,在获悉该漏洞后,已暂时封锁客户访问cPanel管理面板的权限,以阻止漏洞被利用,同时为客户系统完成补丁部署争取时间。HostGator同样表示已完成系统修复,并将该漏洞定性为"高危身份验证绕过漏洞"。
一家虚拟主机公司还表示,已发现黑客在漏洞被披露前数月便开始对其进行利用。KnownHost首席执行官Daniel Pearson在Reddit上发帖称,该公司早在2月23日就已发现针对该漏洞的利用尝试。该公司表示,在部署补丁之前也曾短暂封锁过客户系统的访问权限。
据Pearson介绍,在KnownHost网络中的数千台服务器中,约有30台服务器出现了未经授权的访问尝试迹象,但目前尚未发现系统被成功入侵的证据。此外,cPanel还表示,已针对用于管理WordPress网站的类似工具WP Squared发布了安全修复补丁。
Q&A
Q1:cPanel和WHM的CVE-2026-41940漏洞有多严重?
A:该漏洞允许黑客远程绕过登录界面,直接获取服务器管理面板的完整控制权。由于cPanel和WHM对服务器拥有深度访问权限,一旦被攻破,黑客可对服务器上的所有数据实现无限制访问。加拿大国家网络安全机构将其评级为"极高可能被利用",属于高危级别漏洞。
Q2:我的网站用了cPanel,现在该怎么办?
A:首先确认你的虚拟主机服务商是否已经为系统打上补丁,Namecheap、HostGator等主流服务商已完成修复。如果你是自行管理服务器,应立即登录cPanel官方渠道获取最新安全补丁并完成更新。在补丁部署完成前,可考虑临时限制管理面板的访问权限,降低被攻击的风险。
Q3:黑客利用cPanel漏洞具体攻击了哪些目标?
A:据KnownHost的调查,该公司网络中约有30台服务器出现了未经授权的访问尝试,最早的攻击记录可追溯至2月23日。目前这些尝试尚未造成系统被成功入侵的迹象。加拿大网络安全机构指出,共享托管服务器是重点攻击目标,大型虚拟主机服务商的客户网站面临的风险尤为突出。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
腾讯混元等机构提出HiLS-Attention,通过端到端可学习的分层稀疏注意力机制,让大模型在超长上下文推理中比全量注意力快14倍,同时检索准确率更高。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
DSpark是DeepSeek与北京大学提出的投机解码框架,通过半自回归生成和置信度调度验证两项创新,将DeepSeek-V4用户生成速度提升60%至85%。