كشفت تقارير أمنية حديثة عن ثغرة خطيرة في لوحة تحكم cPanel، وهي أحد أبرز أنظمة إدارة استضافة الويب المستخدمة عالمياً، مما أدى إلى استغلالها بشكل نشط من قبل جهات خبيثة، حيث تم اكتشاف هذه الثغرة الأمنية الخطيرة التي تهدد ملايين خوادم الويب.
تؤثر هذه الثغرة، المسماة CVE-2026-41940، على جميع الإصدارات المدعومة من cPanel و WebHost Manager (WHM) التي صدرت بعد الإصدار 11.40، بالإضافة إلى WP Squared، لوحة إدارة استضافة ووردبريس المبنية على منصة cPanel. وبحسب مسح أجرته شركة Rapid7 للأمن السيبراني، فإن ما يقرب من 1.5 مليون نسخة cPanel متاحة عبر الإنترنت عرضة لهذه المشكلة، وإن كان العدد الدقيق للخوادم المتأثرة لا يزال غير معروف.
ثغرة خطيرة في cPanel قيد الاستغلال
أصدرت cPanel تحديثاً لمعالجة الثغرة يوم الثلاثاء، لكن عمليات الاستغلال كانت قد بدأت بالفعل قبل ذلك. فقد أعلنت شركة KnownHost، وهي مزود خدمة استضافة يعتمد على cPanel، في وقت سابق من هذا الأسبوع عن ملاحظة محاولات استغلال ناجحة للثغرة قبل توفر الإصلاح الرسمي.
ويشير هذا التسارع في الاستغلال إلى مدى خطورة الثغرة التي تم تصنيفها على أنها ذات أولوية قصوى من قبل الوكالة الأمريكية للأمن السيبراني والبنية التحتية (CISA)، حيث أدرجتها ضمن قائمة الثغرات المستغلة المعروفة (KEV) يوم الخميس.
آلية عمل الثغرة الأمنية
وفقاً لتفاصيل فنية قدمتها شركة WatchTowr للأمن السيبراني، فإن الخلل يكمن في المعالجة غير السليمة لمدخلات المستخدم أثناء عملية تسجيل الدخول. عند محاولة المستخدم تسجيل الدخول، تقوم cPanel بكتابة بيانات الطلب في ملف جلسة جانب الخادم قبل التحقق من هوية المستخدم.
يمكن للمهاجم استغلال هذا عن طريق إدخال أحرف خاصة، مثل فواصل الأسطر المخفية، في حقل كلمة المرور ضمن طلب تسجيل الدخول. هذه الأحرف، التي تفشل cPanel في إزالتها، تسمح بحقن بيانات عشوائية مباشرة في ملف الجلسة. من خلال خطوة ثانوية تتضمن طلباً معدلاً بشكل متعمد، يتم رفع البيانات المحقونة إلى ذاكرة التخزين المؤقت النشطة للجلسة، حيث تقرأها cPanel كبيانات شرعية.
الوصول غير المصرح به
بمجرد حدوث ذلك، يعتبر النظام الجلسة مصادق عليها بالفعل ويتجاوز التحقق من كلمة المرور تماماً، مما يمنح حق الوصول دون فحص بيانات اعتماد المستخدم الفعلية. هذه الآلية تفتح الباب أمام المهاجمين للوصول إلى لوحات التحكم الخاصة بالمستخدمين دون الحاجة لمعرفة اسم المستخدم أو كلمة المرور.
جهود المعالجة والتصدي
أصدرت cPanel سكربت اكتشاف مصمماً لفحص ملفات الجلسة للبحث عن مؤشرات اختراق، بما في ذلك الجلسات التي تحتوي على طوابع زمنية مصادق عليها محقونة، أو جلسات ما قبل المصادقة مع سمات مصادق عليها، أو حقول كلمات المرور التي تحتوي على فواصل أسطر مضمنة. كما قامت WatchTowr بإتاحة أداة مستقلة يمكن للمسؤولين استخدامها للتحقق مما إذا كانت أنظمتهم لا تزال عرضة للخطر.
واتخذت شركات كبرى مثل Namecheap، وهي مسجل نطاقات ومزود استضافة، خطوة حازمة بتعليق الاتصالات مؤقتاً بمنافذ cPanel و WHM (2083 و 2087) قبل توفر التحديث، وذلك لحماية العملاء أثناء انتظار الإصلاح الرسمي. بدأت الشركة في تطبيق التحديث بعد إصداره من قبل cPanel.
تفاصيل التحديث الجديد
تغطي الإصدارات المحدثة من cPanel المشكلة عبر سبعة فروع إصدار، من 11.110.0 إلى 11.136.0، بالإضافة إلى WP Squared الإصدار 11.136.1. يذكر إعلان الشركة أن الإصلاح يضمن إزالة المدخلات الخطرة تلقائياً ضمن عملية حفظ الجلسة الأساسية، بدلاً من الاعتماد على كل جزء على حدة من قاعدة التعليمات البرمجية. يضيف التحديث أيضاً معالجة للحالات التي يكون فيها مفتاح تشفير للجلسة مفقوداً، وهي حالة فشل الكود الأصلي في التعامل معها واستغلها المهاجمون لتجاوز تشفير كلمة المرور بالكامل.
من الجدير بالذكر أن الثغرة الأمنية CVE-2026-41940 حصلت على تقييم 9.8 من 10 على مقياس CVSS، مما يعكس شدة خطورتها وتأثيرها المحتمل على استقرار وأمن أنظمة استضافة الويب.