CISA Alert Highlights Active Exploitation of cPanel & WHM Security Bug
2026/05/04 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、WebPros の cPanel & WebHost Manager (WHM) および WordPress Squared (WP2) に影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-41940 (CVSS:9.8) について警告を発した。2026年4月30日に CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加し、実環境の攻撃で積極的に悪用されていることを確認した。
認証バイパスの脆弱性
脆弱性 CVE-2026-41940 は、ユーザーに対する身元確認を行わずに、機密機能へのアクセスを許す欠陥であり、CWE-306 (重要な機能に対する認証の欠如) に該当する。
この脆弱性は、影響を受ける WebPros ソフトウェアのログイン・フローに存在し、それを悪用するリモート攻撃者は、標準的なログイン・プロセスの完全な回避を可能にする。その結果、有効なユーザー名やパスワードを必要としない、コントロール・パネルへの直接アクセスという極めて深刻な事態を招く。
WebHost Manager および cPanel は、ホスティング・プロバイダーが Web サーバ管理/ユーザー・アカウント作成/データベース管理を行うための基盤ツールである。したがって、これらへの不正アクセスは、サーバ環境全体に対する広範な管理権限を攻撃者に与えることを意味する。
侵入を達成した攻撃者は、Web サイトの設定の改変/機密データベース情報の窃取/ホストされたドメイン全体への悪意のペイロード展開を可能にする。こうしたリスクを踏まえ、ネットワークが深刻な侵害を受けるリスクは極めて高いと、CISA は警鐘を鳴らしている。ただし、現時点において、この脆弱性とランサムウェア攻撃の関連性は不明であるとしている。
Binding Operational Directive (BOD) 22-01 に基づき、すべての連邦文民行政機関に対して CISA は、2026年5月3日までに脆弱性 CVE-2026-41940 への対策を完了するよう義務付けた。この期限は、連邦ネットワークに適用されるが、民間組織/ホスティング企業/Web サイト管理者に対しても、同様の緊急対応が強く求められている。
管理者はベンダーの公式指示に従い、すべてのセキュリティ・パッチおよび緩和策を直ちに適用する必要がある。迅速に更新を適用できない場合には、安全な対策が提供されるまで、当該サービスの利用停止が推奨される。
訳者後書:今回の脆弱性 CVE-2026-41940 は、本来であれば厳重に確認すべきユーザーの身元確認を、ログイン・プロセスでスキップしてしまうという不備が原因となっています。 この CWE-306 に分類される問題は、サーバの管理画面という最も大切な場所へ、合鍵も持たずに誰でも入れてしまうような状態を作るものです。管理ツールである cPanel & WebHost Manager (WHM) や WordPress Squared (WP2) は、サーバの心臓部を操作するものであるため、ここでの認証漏れはシステム全体の支配権を明け渡すことにつながります。ご利用のチームは、ご注意ください。よろしければ、2026/05/02 の「cPanel/WHM のゼロデイ脆弱性 CVE-2026-41940:44,000 IP からの攻撃と PoC の登場」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.