Een kritiek beveiligingslek in cPanel en WHM waardoor ongeauthenticeerde aanvallers admin-toegang tot systemen kunnen krijgen wordt actief misbruikt bij aanvallen. Beveiligingsupdates zijn sinds 28 april beschikbaar, maar misbruik zou al sinds 23 februari plaatsvinden. Daarnaast is er inmiddels proof-of-concept exploitcode online gepubliceerd, waardoor er met grootschalig misbruik rekening wordt gehouden. Volgens zoekmachine Shodan zijn er zo'n 1,5 miljoen cPanel-installaties vanaf het internet toegankelijk. Via de oplossingen zouden tientallen miljoenen domeinnamen worden beheerd.

De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Een kritieke kwetsbaarheid in de oplossingen, aangeduid als CVE-2026-41940, maakt het mogelijk voor ongeauthenticeerde aanvallers om de authenticatie te omzeilen en als beheerder in te loggen.

Voordat de authenticatie plaatsvindt wordt er een sessiebestand weggeschreven. Een aanvaller kan willekeurige waardes aan dit bestand toevoegen, zoals dat hij de root-gebruiker is, het bestand opnieuw laden en vervolgens toegang krijgen. CPanel kwam op 28 april met een beveiligingsupdate, alsmede detectiescripts om misbruik te detecteren. Het probleem raakt echter ook versies die end-of-life zijn en niet meer worden ondersteund.

Volgens KnownHost wordt er actief misbruik van het probleem gemaakt. Gebruikers van Reddit melden dat deze aanvallen al sinds 23 februari plaatsvinden. Securitybedrijf watchTowr heeft inmiddels een analyse van de kwetsbaarheid en proof-of-concept exploitcode gepubliceerd. Daardoor zal grootschalig misbruik op korte termijn plaatsvinden, waarschuwt securitybedrijf Rapid7.