2026年4月末、cPanel & WHMに影響を及ぼす重大な認証バイパス脆弱性CVE-2026-41940が公開されました。本脆弱性はCVSS 9.8(Critical)と評価されており、認証されていないリモート攻撃者がcPanelおよびWHMの管理インターフェースへ不正にアクセスできる構造的な欠陥を含んでいます。特に本脆弱性は、公開直後から単なる脆弱性情報にとどまらず、実際の攻撃で急速に悪用され、バックドア設置、認証情報の窃取、Webシェルの展開、ボットネット拡散、ランサムウェア攻撃など、さまざまな後続行為につながっています。
cPanelとWHMは、Webホスティング環境において、Webサイト、アカウント、ドメイン、データベース、メール、サーバー設定を管理する中核的な管理パネルです。そのため、本脆弱性が悪用された場合、単一のWebアプリケーション侵害にとどまらず、当該サーバーが管理する複数のWebサイト、データベース、ホスティングアカウント全体が攻撃者の制御下に置かれる可能性があります。実際にCVE-2026-41940は、CISAのKnown Exploited Vulnerabilities(KEV)カタログに追加されており、早急な対応が求められる脆弱性として分類されています。
本記事では、CVE-2026-41940の技術的構造と侵害フローを分析し、Criminal IPを活用して、外部に公開されたcPanel/WHM管理インターフェースがなぜ即時に攻撃対象領域となり得るのかを考察します。
CVE-2026-41940脆弱性の概要
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2026-41940 |
| 影響製品 | cPanel & WHM, WP Squared |
| 脆弱性タイプ | CRLFインジェクションによる認証バイパス |
| CVSSスコア | 9.8 (Critical) |
| 影響範囲 | 認証バイパス、管理者権限の取得、サーバー設定およびデータベースへのアクセスが可能 |
| 悪用状況 | 実際の攻撃で悪用されており、CISA KEVに登録 |
公式セキュリティアドバイザリによると、cPanel & WHM 11.40以降のバージョンが影響を受け、複数のサポート対象バージョンに対してパッチが提供されています。また、WP Squaredの特定バージョンも影響範囲に含まれます。
パッチ適用済みバージョンは以下のとおりです。
- 11.86.0.41以上
- 11.94.0.28以上
- 11.102.0.39以上
- 11.110.0.97以上
- 11.118.0.63以上
- 11.124.0.35以上
- 11.126.0.54以上
- 11.130.0.19以上
- 11.132.0.29以上
- 11.134.0.20以上
- 11.136.0.5以上
実際の攻撃フロー:認証バイパスからバックドア設置まで
CVE-2026-41940のリスクは、脆弱性そのものの深刻度だけでなく、実際の攻撃フローがすでに自動化されつつある点でさらに高まっています。公開資料によると、攻撃者は脆弱なcPanel/WHMインスタンスを対象に大規模なスキャニングを行った後、認証バイパスを悪用して管理者権限を取得し、その後、悪性スクリプトやバックドアを配布する形で攻撃を展開しています。
攻撃フローは、以下のように要約できます。
- 外部に公開されたcPanel/WHM管理インターフェースを識別
- 認証バイパス脆弱性を悪用し、管理者レベルのセッションを取得
- サーバー内部にSSH公開鍵またはWebシェルを挿入
- ファイルのアップロード/ダウンロード、リモートコマンド実行機能を確保
- ログインページの改ざんまたはスクリプト挿入による認証情報の窃取
- バックドアの配布および持続性の確保
- 追加のWebサイト、データベース、アカウント情報へ攻撃範囲を拡大
特に一部の攻撃では、感染したサーバーからbash history、SSH関連データ、機器情報、データベースパスワード、cPanelの仮想alias情報などが収集されたと報告されています。これは、攻撃者が単に管理パネルへのアクセスにとどまらず、サーバー内部の運用情報や認証情報を収集し、追加侵害やラテラルムーブメントに活用できることを示しています。cPanel/WHMは、1台のサーバーで複数のWebサイトやアカウントを管理するケースが多くあります。そのため、攻撃者がWHM権限を取得した場合、単一のホスティングアカウントではなく、サーバー全体の設定、Webルート、データベース、認証情報にアクセスできる可能性があります。このため、CVE-2026-41940は一般的なWeb脆弱性よりも広い侵害範囲を持ちます。
Criminal IPで観測可能な外部公開cPanel資産
インターネット上に公開されたcPanel/WHMインスタンスの実態を確認するため、Criminal IP IT資産検索では、cPanelサービスの特徴を反映した検索条件を活用できます。
Criminal IP 検索クエリ: title: cPanel
cPanelのWebインターフェースは、ログインページのタイトルにサービス名をそのまま表示する特徴があります。そのため、HTMLタイトルベースの検索だけでも、外部からアクセス可能なcPanelインスタンスを直接検知できます。このクエリはポート条件を別途指定せず、cPanel関連のWebインターフェースとして外部から識別可能な資産を幅広く確認する際に活用されます。Criminal IP IT資産検索を通じて、合計2,954件の資産が確認されました。
その後、クエリを細分化し、cPanelユーザーインターフェースとWHM管理インターフェースの外部公開状況を追加で分析しました。
Criminal IP 検索クエリ: title: cPanel AND port: 2083
上記のクエリを用いて、関連資産をさらに詳細に分析しました。このクエリは、cPanelのデフォルトHTTPS接続ポートである2083番ポート上で、cPanelのWebインターフェースが公開されている資産を確認するための条件です。 2083番ポートは、一般的にユーザーがcPanelアカウントへアクセスする管理ポートとして使用されます。そのため、当該ポートが外部に開放されており、あわせてcPanelのタイトルが識別される場合、実際のcPanel管理インターフェースがインターネットからアクセス可能な状態にある可能性が高いと考えられます。 分析の結果、合計147件のインスタンスが確認されました。これらの資産は、CVE-2026-41940に関連して優先的な点検が必要な高リスクの外部公開資産として評価できます。
Criminal IP 検索クエリ: title: WHM AND port: 2087
WHM(Web Host Manager)は、ホスティングサーバー全体をrootレベルで管理するインターフェースであり、デフォルトポートとして2087番を使用します。CVE-2026-41940攻撃の最終的な目的は、このWHM rootセッションの取得です。そのため、title: WHM AND port: 2087 クエリで検知される資産は、管理インターフェースとサービスポートが同時にインターネットへ公開された、最もリスクの高い資産群として評価できます。WHM root権限は、当該サーバーで運用されているすべてのWebサイト、データベース、メールアカウント全体に対する完全な制御権を意味します。したがって、このクエリ結果に含まれる資産では、単一サーバーの侵害が数十〜数百件のWebサイトの同時侵害へ拡大する可能性があり、非常に広い侵害範囲を持ちます。
このような検索結果は、cPanel/WHMがWebホスティング運用の利便性を高めるために広く使用される一方で、管理インターフェースがインターネットに直接公開された場合、攻撃者が容易に識別できる攻撃対象領域になり得ることを示しています。特にCVE-2026-41940のように、認証バイパスから管理者権限の取得につながる可能性がある脆弱性では、パッチ適用状況だけでなく、管理ポートが外部からアクセス可能な状態にあるかをあわせて確認することが重要です。
パッチ状況および対応方法
公式セキュリティアドバイザリによると、CVE-2026-41940については複数のcPanel & WHMバージョンに対してパッチが提供されています。管理者は直ちにパッチ適用済みバージョンへ更新し、cPanelサービスデーモンを再起動する必要があります。また、公式の検知スクリプトを活用し、既知の侵害指標を点検することが推奨されます。
優先的に実施すべき対応は以下のとおりです。
1. cPanel & WHMの最新パッチ適用
影響を受けるcPanel & WHM環境は、パッチが提供されたバージョンへ直ちにアップデートする必要があります。自動更新の有無を確認するだけでなく、実際のビルドバージョンがパッチ適用済みバージョンに到達しているかを確認する必要があります。
2. cpsrvdの再起動およびサービス状態の確認
パッチ適用後は、cPanelサービスデーモンが正常に再起動されたかを確認する必要があります。サービスが以前の状態のまま維持されていたり、一部のプロセスが更新されていなかったりする場合、パッチ適用の効果が限定される可能性があります。
3. 管理ポートへの外部アクセス制限
cPanel/WHMの管理ポートは、可能な限り公開インターネットから直接アクセスできないように制限する必要があります。特に以下のポートに対するアクセス制御ポリシーを優先的に確認する必要があります。
- 2083: cPanel HTTPS
- 2087: WHM HTTPS
- 2095: Webmail HTTP
- 2096: Webmail HTTPS
管理者アクセスは、VPN、許可されたIP帯域、ゼロトラストアクセス制御、ファイアウォールポリシーなどを通じて制限することが望まれます。
4. 侵害痕跡の点検
すでに攻撃が発生していた可能性を排除すべきではありません。以下の項目を中心に点検が必要です。
- 異常なWHMログイン履歴
- セッションファイルの異常有無
- 不明なSSH公開鍵の追加有無
- Webルート内のPHP Webシェルまたは不審ファイルの存在有無
- ログインページまたはJavaScriptコードの改ざん有無
- 新規管理者アカウントの作成有無
- cron、systemd、initスクリプト内の持続性設定有無
- データベースパスワードおよびAPIキーの流出可能性
5. 認証情報およびキーの再設定
パッチ適用前に侵害が発生していた場合、パスワードやAPIキーがすでに窃取されている可能性があります。そのため、cPanel/WHM管理者アカウント、SSHキー、データベースアカウント、Webアプリケーションのシークレットキー、メールアカウントのパスワードなどを再設定する必要があります。
6. 外部公開状況の再検証
パッチおよび内部点検の完了後も、当該管理インターフェースが外部から引き続き識別可能であるかを確認する必要があります。Criminal IP ASMのような攻撃対象領域管理ツールを活用し、組織のドメイン、IP帯域、ホスティングインフラにおいて、cPanel/WHM関連サービスが引き続き公開されていないかを定期的に検証する必要があります。
FAQ
Q1. CVE-2026-41940はなぜ特に危険なのですか?
CVE-2026-41940は、認証されていないリモート攻撃者がcPanel/WHM管理インターフェースへ不正にアクセスできる認証バイパス脆弱性です。一般的な脆弱性とは異なり、攻撃者が管理者アカウントを事前に取得していなくても、外部に公開された脆弱なサービスへアクセスできる場合、攻撃を試行できる点で高い危険性があります。また、cPanel/WHMは単一のWebサイトではなく、サーバーと複数のホスティングアカウントを管理する制御レイヤーです。そのため、攻撃者がWHM権限を取得した場合、Webサイトのファイル、データベース、アカウント設定、メール、ドメイン、サーバー構成にまで影響が及ぶ可能性があります。したがって、本脆弱性は単一アプリケーションの侵害ではなく、ホスティングサーバー全体の侵害につながる可能性があります。
Q2. パッチを適用するだけで十分ですか?
パッチ適用は必須ですが、それだけで十分とはいえません。CVE-2026-41940はすでに実際の攻撃で悪用されており、一部の攻撃フローではWebシェル、SSHキー、バックドア、認証情報の窃取があわせて観測されています。したがって、パッチ適用前に攻撃者がすでにアクセス権を取得していた場合、脆弱性が修正された後も、別の持続性手段を通じて再アクセスされる可能性があります。このため、パッチ適用とあわせて、侵害痕跡の点検、不審ファイルの削除、アカウントおよびキーのローテーション、ログ分析、外部公開状況の管理を実施する必要があります。特にcPanel/WHM管理ポートが引き続きインターネットに公開されている場合、今後類似の脆弱性が公開された際に、再び高リスク資産となる可能性があります。
結論
CVE-2026-41940は、cPanel/WHMのようなホスティング管理パネルが外部に公開された場合、いかに迅速に大規模な侵害へつながり得るかを示す事例です。本脆弱性は認証バイパスそのものも重大ですが、それ以上に重要なのは、攻撃者がインターネット上に公開された管理インターフェースを自動的に識別し、脆弱性を悪用した後にサーバー全体を掌握できる点です。パッチ適用は最も基本的な対応です。しかし、すでに攻撃が進行していた環境では、パッチだけでバックドア、窃取された認証情報、改ざんされたログインページ、追加の悪性ファイルを除去することはできません。したがって、組織はパッチ適用とあわせて、外部公開資産の識別、管理ポートへのアクセス制限、侵害痕跡の点検、認証情報のローテーション、継続的なASMベースの検証を並行して実施する必要があります。
なお、関連してCVE-2026-3854:git push 1回で露呈するGitHub RCE脆弱性の記事も参考にできます。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース: Criminal IP(https://www.criminalip.io/ja), SECURITYWEEK (https://www.securityweek.com/us-federal-agencys-cisco-firewall-infected-with-firestarter-backdoor/), digwatch (https://dig.watch/updates/cisa-firestarter-malware-cisco-directive), TheHackerNews (https://thehackernews.com/2026/04/firestarter-backdoor-hit-federal-cisco.html)
