cPanel の脆弱性 CVE-2026-41940 が FIX：サーバ管理者権限奪取の可能性

cPanel Warns of Critical Authentication Flaw – Emergency Patch Released

2026/04/29 CyberSecurityNews — cPanel が発表したのは、コア・ソフトウェアに影響を及ぼす深刻な脆弱性 CVE-2026-41940 に対処する緊急セキュリティ・アップデートである。この Web ホスティング・コントロール・パネルに発生したセキュリティ欠陥は、cPanel／Web Host Manager (WHM) エコシステム内の、複数の認証パスに対して直接の影響を及ぼす。

システム管理者および Web ホスティング・プロバイダーに対して強く推奨されるのは、直ちにパッチを適用し、不正アクセスの可能性から環境を保護することだ。2026年4月28日に開発チームは、このセキュリティ問題を確認し、現在サポートされている全バージョンに影響すると警告している。

悪用手法の具体的な技術詳細は、ユーザー保護のために制限されているが、歴史的にみて認証パスの脆弱性は深刻なリスクをもたらす。この脆弱性の悪用に成功した攻撃者は、ログイン・メカニズムをバイパスし、サーバの管理者権限を取得する可能性がある。

攻撃面と潜在的な影響

cPanel／WHM は Web ホスティング・インフラ管理に広く使用されているため、攻撃面は広大である。

WHM はサーバに対する root レベルのアクセスを提供するため、それを利用する管理者は、セキュリティ・プロトコルのコンフィグ／SSL サーティフィケートの管理／個別のホスティング・アカウント作成が可能になる。

したがって、このレベルで認証パスが侵害されると、脅威アクターに対して、すべてのホストされる Web サイト／機密データベース／電子メール通信に対する完全な制御権が付与されてしまう。

このようなアクセスは、Web サイトの大規模改竄／ランサムウェアの展開／顧客の機密データの流出といった、深刻なセキュリティ・インシデントにつながる場合が多い。さらに、侵害されたサーバがボットネットに取り込まれ、分散型 DoS (Denial-of-Service) 攻撃の実行や、悪意のスパム・キャンペーンの配布に利用されることもある。

これらの管理エントリ・ポイントの保護は、より広範な Web ホスティング・サプライ・チェーンの整合性維持において極めて重要である。

安全なビルドへの移行

すでに cPanel セキュリティ・チームは、すべてのサポート対象リリース・ティアに対して緊急パッチを展開し、この脅威を無力化している。管理者が確認すべきは、自身のサーバが以下の安全なビルドを実行していることである：

安全なバージョン：11.110.0.97／11.118.0.63／11.126.0.54／11.132.0.29／11.134.0.20／11.136.0.5

サーバ・オペレーターは、コマンドライン・インターフェイスを使用してアップデート・プロセスを手動で強制できる。”/scripts/upcp –force” コマンドを実行することで、サーバは公式リポジトリから最新のパッチ適用済みリリースを取得しインストールする。

さらに、管理者にとって必要なことは、パッチ適用前に発生した可能性のある、異常なログイン試行について、認証ログを監視することである。

サポート対象外システムに対する警告

このセキュリティ・アドバイザリは、End-of-Life またはサポート対象外バージョンを実行している環境について、重要な警告を発している。

古いバージョンにおいても、同じ認証欠陥の脆弱性が含まれる可能性が高いが、この緊急の修正は提供されない。レガシー・サーバを管理する管理者にとって必要なことは、可能な限り速やかに、サポート対象リリース・トラックへの移行を計画することだ。

なお、当面の間は、厳格なファイアウォール・ルールの適用／多要素認証の強制／WHM アクセスに対する IP 許可リストの利用により、悪用リスクの即時軽減が可能である。

訳者後書：世界中の Web ホスティング管理で利用されている、cPanel／WHM の根幹に関わる深刻な脆弱性 CVE-2026-41940 が修正されました。この問題の原因は、サーバの管理者権限を制御する cPanel／WHM エコシステム内の認証パスに存在し、バイパスを可能にする論理的な欠陥にあります。この欠陥を突く攻撃者は、正当な認証情報を持たずにログイン・プロセスを回避し、サーバーの root 権限を奪取する可能性を持ちます。 WHM は、サーバ全体の SSL 証明書／データベース／ホスティング・アカウントを管理する強力なツールであるため、ここが突破されると、管理下にあるすべての Web サイトや機密情報が完全に侵害されるリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、cPanel での検索結果も、ご参照ください。