Vulnérabilité cPanel critique : accès admin sans mot de

Une grave vulnérabilité de sécurité dans cPanel et WHM est activement exploitée par des attaquants, selon Security.NL. Des mises à jour de sécurité sont disponibles depuis le 28 avril 2026, mais l'exploitation aurait débuté dès le 23 février 2026.

Qu'est-ce que cPanel et WHM ?

cPanel est un panneau de contrôle permettant de gérer des comptes d'hébergement individuels. WHM (WebHost Manager) est l'interface utilisée par les hébergeurs pour administrer leurs serveurs et créer des comptes cPanel. Selon Security.NL, environ 1,5 million d'installations cPanel sont accessibles depuis internet.

Quelle est la nature de la vulnérabilité ?

La faille, identifiée sous la référence CVE-2026-41940, est classée critique. Elle permet à un attaquant non authentifié de contourner entièrement le processus de connexion et d'obtenir un accès administrateur à un serveur.

Selon Security.NL, le mécanisme est simple : avant que l'authentification n'ait lieu, le système crée un fichier de session. Un attaquant peut y inscrire des valeurs arbitraires, par exemple en se déclarant utilisateur root, puis recharger ce fichier pour obtenir un accès complet. Aucun mot de passe n'est nécessaire.

Pourquoi cette situation est-elle urgente ?

Plusieurs facteurs rendent cette situation plus préoccupante qu'une mise à jour logicielle ordinaire :

• Selon Security.NL, l'exploitation serait en cours depuis le 23 février 2026, bien avant la publication du correctif le 28 avril 2026
• La société de sécurité watchTowr a publié un code d'exploitation de démonstration, ce qui signifie que la méthode d'attaque est désormais accessible publiquement
• La société de sécurité Rapid7 avertit qu'une exploitation à grande échelle est imminente
• Selon Security.NL, les versions en fin de vie de cPanel sont également concernées mais ne recevront pas de correctif

cPanel a publié une mise à jour de sécurité le 28 avril 2026, accompagnée de scripts de détection pour aider à déterminer si un système a déjà été compromis.

Que faire ?

Si votre site web est hébergé sur un compte géré via cPanel ou WHM, la démarche la plus importante est de contacter votre hébergeur et de lui demander s'il a appliqué la mise à jour de sécurité pour CVE-2026-41940. Il n'est pas nécessaire de maîtriser les aspects techniques pour poser cette question. Si votre hébergeur utilise une version de cPanel en fin de vie, interrogez-le sur ses plans de migration vers une version maintenue.

Vous pouvez également consulter notre guide de sécurité pour les petites entreprises pour des conseils pratiques afin de protéger votre site web.

Quelles conséquences pour votre site web ?

Si votre site est hébergé sur un compte basé sur cPanel, c'est votre hébergeur qui est responsable de l'application de ce correctif, mais il vaut la peine de le vérifier directement auprès de lui. Un compte d'hébergement compromis pourrait donner à un attaquant un contrôle total sur votre site, y compris l'accès aux données de vos clients ou la possibilité de modifier votre contenu. Rester en contact avec votre hébergeur lors d'incidents de sécurité actifs comme celui-ci est une démarche simple et raisonnable.