cPanel の CVE-2026-41940 に関する注意事項:5月の脆弱性群との連鎖の可能性

Multiple cPanel Vulnerabilities Could Lead to Sensitive Resource Exposure

2026/05/15 gbhackers — cPanel & WHM で先日に公開された脆弱性 CVE-2026-41940 (Critical) や、2026年5月に公開された脆弱性群を悪用する攻撃者が、標的サーバ上の機密性の高いリソースやホスティング・アカウントへアクセスするリスクが生じている。それらの脆弱性の中の少なくとも 1件が、すでに積極的に悪用されているため、インターネットに公開された cPanel インスタンスを運用する組織は、ただちに更新を実施する必要がある。

cPanel セキュリティ脆弱性

2026年4月下旬に公開された脆弱性 CVE-2026-41940 は、cPanel & WHM および WP Squared に影響する。この脆弱性を悪用する未認証リモート攻撃者は、通常のログイン・プロセスをバイパスし、認証情報なしでコントロール・パネルへアクセス可能となる。

この脆弱性は、セッション管理および認証フローに存在し、細工されたリクエストおよび改竄されたクッキーを用いる攻撃者を、認証済みユーザーとして扱う状況を引き起こす。この攻撃に成功した攻撃者は多要素認証を回避し、Web サイト/メール/データベースなどのホスティング環境全体の管理権限を取得する可能性がある。

セキュリティ研究者によると、CVE-2026-41940 の CVSS スコアは 9.8 であり、パッチ公開前から積極的な悪用が確認されている。

インターネットに公開されている、多数の cPanel サーバに影響が生じる可能性がある。ホスティング事業者およびサイト運営者にとって、迅速なパッチ適用とログ確認が最優先事項となる。

CISA も、この脆弱性を Known Exploited Vulnerabilities カタログへ追加しており、迅速な緩和策の適用が求められている。

2026年4月のアドバイザリに続き、5月上旬から中旬にかけて追加のセキュリティ更新が公開された。具体的には、5月8日に CVE-2026-29201/CVE-2026-29202/CVE-2026-29203 が修正されている。

さらに 5月13日には第2バッチのパッチが公開され、脆弱性 CVE-2026-29205/CVE-2026-29206/CVE-2026-32991/CVE-2026-32992/CVE-2026-32993 が修正された。

これらの、5月に公開された脆弱性の一部には、詳細情報が限定されているものもあるが、cPanel およびホスティング事業者の説明によると、サポート対象の cPanel & WHM バージョンにおけるサーバ・サイド問題であり、最大 High の深刻度に達するという。

InMotion Hosting などのホスティング企業は、マネージド環境における自動パッチ適用を実施している。その一方で、セルフ・マネージドの VPS や専用サーバの利用者に推奨されるのは、手動による更新となる。その際には、標準の “/scripts/upcp” プロセスを実行し、最新の修正済みビルドを適用する必要がある。

これらの脆弱性が未パッチ状態で放置されると、cPanel 管理サーバ上の機密性の高いリソースへの複数の攻撃経路が、攻撃者に対して提供される。

脆弱性 CVE-2026-41940 の悪用に成功した攻撃者は、コントロール・パネルへ直接アクセスし、Web サイトのコンテンツ/データベース/コンフィグファイル/メールアカウント/API トークンなどの、閲覧/改竄が可能になる。

さらに、2026年5月に公開された脆弱性群との連鎖により、権限昇格/アカウント間でのラテラル・ムーブメント/Web シェルの設置による永続的な侵害などが可能となる。

セキュリティチームは、単なるパッチ適用で終わらせてはならない。少なくとも 2026年2月まで遡り、以下の確認を実施する必要がある:

  • 認証ログの確認
  • セッション・ディレクトリの調査
  • パネル・アクセス履歴の分析
  • 不審なログイン/異常 IP アドレス/予期しないコンフィグ変更の検出

さらに推奨されるのは、パネルパスワード/API キー/重要なアプリケーション認証情報のローテーションである。

特に共有ホスティング環境では、単一の cPanel インスタンス侵害が、複数の顧客環境へ波及するリスクがあるため、影響範囲の評価と防御強化が不可欠である。

訳者後書:Web サーバ管理ツール cPanel/WHM/WP Squared に見つかった、複数の深刻な脆弱性について解説する記事です。特に危険な CVE-2026-41940 は、細工されたリクエストや改竄されたクッキーをシステムが正しく検証できず、正しいユーザーとして誤認するという問題を引き起こします。これを悪用する攻撃者は、ID やパスワード/多要素認証すらも完全にバイパスし、管理者権限を奪って Web サイトやデータベースを自由に操作できてしまいます。さらに、5 月に公開された CVE-2026-29201 などの脆弱性群と組み合わされることで、権限の昇格やサーバー内での不正な横移動、バックドアの設置といった深刻な連鎖攻撃を招く恐れがあります。ご利用のチームは、ご注意ください。よろしければ、cPanel での検索結果も、ご参照ください。