チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「ホスティング業者で使うcPanelに重大な脆弱性が出たって本当?」
「自社サイトのレンタルサーバーは大丈夫なのか?」
チップスボス、cPanelのCVE-2026-41940ってどれくらいやばいんでしゅ?CVSSが9.8って数字を見てびっくりしたでしゅ。
ボス未認証でroot権限が取れる類の脆弱性だな。すでに30日近く実環境で悪用が観測されている、危険度の高い案件だ。
世界中のホスティング事業者で使われているcPanel/WHMに、認証を完全にバイパスできる致命的な脆弱性が公開されました。
本記事では、CVE-2026-41940の仕組み、攻撃の現状、そしてサーバー管理者がいまやるべき対応を順番に整理してお届けします。
レンタルサーバーや共用ホスティング事業を使っている組織は、自社・委託先の両面で点検が必要です。
最後まで読めば、即時に取るべき対応がはっきり見えてきます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
まずは脆弱性の特徴と影響範囲を整理します。
本脆弱性はcPanel/WHMのログインおよびセッション処理に存在するCRLFインジェクションが原因です。
攻撃者は暗号化処理の前にセッションファイルへ任意のプロパティを差し込めるため、自身をuser=rootと宣言できてしまいます。
未認証の遠隔攻撃者がそのままサーバー全体の管理権限を奪取できる、典型的なRCE級の影響です。
影響範囲はサポート対象のすべてのリリースに及び、cPanel 11.86系から11.136系まで多くのバージョンが対象です。
特に古いバージョンを長期運用している環境ほどリスクは高く、PoCも出回っているため放置は危険です。
すでに約30日間、攻撃者が実環境を狙っていたと報告されており、未パッチ環境は侵害済みである可能性も検討する必要があります。
| 系列 | 修正版 |
|---|---|
| 11.86.x | 11.86.0.41 |
| 11.110.x | 11.110.0.97 |
| 11.118.x | 11.118.0.63 |
| 11.126.x / 11.130.x | 11.126.0.54 / 11.130.0.19 |
| 11.132.x / 11.134.x / 11.136.x | 11.132.0.29 / 11.134.0.20 / 11.136.0.5 |
チップスこんなにバージョンがあるのに全部対象なんて、対応漏れが起こりそうでしゅ……
事業者・利用者の双方が押さえるべき影響と対応の優先順位を整理します。
cPanelで管理されているサーバーが侵害されると、ホスティングしている全顧客アカウントへの影響が避けられません。
具体的には、ファイル改ざん、マルウェア設置、認証情報の窃取、Webバックドアの埋め込みといった広範な悪用が想定されます。
共用ホスティングを利用している中小サイトにとっても、自社の責任範囲外で被害が始まる可能性があります。
修正版適用が最優先ですが、即時にパッチ適用が難しい場合は暫定策を打つことが推奨されます。
具体的には、外部公開ポート2083/2087/2095/2096のインバウンドを遮断し、cpsrvdおよびcpdavdサービスを停止する手順です。
同時にアクセスログ・セッションファイルを確認し、不審なroot化の痕跡が残っていないかを調査するとよいでしょう。
/scripts/upcp --forceでの即時アップデートボスパッチを当てたら終わり、ではない。30日も悪用されていた以上、すでに侵害済みかどうかも合わせて確認すべきだな。
cPanelのCVE-2026-41940は、認証を完全に飛ばす重大度の高い脆弱性で、PoCの公開と長期間の悪用が確認されています。
共用サーバーやVPS上でWordPressを動かしている組織まで含めて影響範囲は広く、ホスティング事業者の動向を待たずに自社運用分は対応に着手すべきです。
パッチ適用、ポート遮断、侵害痕跡の調査をワンセットで進めることをおすすめします。
引用元:The Hacker News – Critical cPanel Authentication Bypass
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
