Meer dan 44.000 installaties van cPanel en WebHost Manager (WHM) zijn zeer vermoedelijk gehackt via een nieuwe kritieke kwetsbaarheid, zo meldt The Shadowserver Foundation. De Amerikaanse en Australische autoriteiten bevestigen dat aanvallers misbruik van het probleem maken, aangeduid als CVE-2026-41940. De WebHost Manager (WHM) is een interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel is een interface bedoeld voor individuele hosting-accounts. Hostingbedrijven en systeembeheerders maken er vaak gebruik van.

CVE-2026-41940 is een authenticatie bypass kwetsbaarheid, waardoor ongeauthenticeerde aanvallers op afstand toegang tot het controlepaneel kunnen krijgen, alsmede op afstand code kunnen uitvoeren, zo laat het Australische Cyber Security Centre (ACSC) weten. Dat meldt dat het bekend is met actief misbruik van het cPanel/WHM-lek in Australië. Ook het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwt voor actief misbruik.

The Shadowserver Foundation is een stichting die zich bezig met de bestrijding van cybercrime houdt en onderzoek doet naar kwetsbare systemen op internet. De stichting heeft meerdere honeypots en zag zeker 44.000 ip-adressen van cPanel-installaties de honeypots scannen. In totaal zijn er volgens The Shadowserver Foundation zeker 650.000 cPanel-installaties vanaf het internet toegankelijk, waarvan bijna dertienduizend in Nederland. Hoeveel er daarvan zijn gecompromitteerd is onduidelijk. Updates voor CVE-2026-41940 zijn sinds 28 april beschikbaar, maar sommige partijen melden dat misbruik al sinds 23 februari plaatsvindt.