Source: Security.NL
Une grave vulnérabilité de sécurité dans cPanel et WHM est activement exploitée par des attaquants, selon Security.NL. Des mises à jour de sécurité sont disponibles depuis le 28 avril 2026, mais l'exploitation aurait débuté dès le 23 février 2026.
cPanel est un panneau de contrôle permettant de gérer des comptes d'hébergement individuels. WHM (WebHost Manager) est l'interface utilisée par les hébergeurs pour administrer leurs serveurs et créer des comptes cPanel. Selon Security.NL, environ 1,5 million d'installations cPanel sont accessibles depuis internet.
La faille, identifiée sous la référence CVE-2026-41940, est classée critique. Elle permet à un attaquant non authentifié de contourner entièrement le processus de connexion et d'obtenir un accès administrateur à un serveur.
Scan gratuit couvrant le RGPD, le droit d'auteur, l'accessibilité, la sécurité et plus encore.
Lancer le check gratuitUn chercheur en sécurité aurait découvert deux portes dérobées dissimulées dans l'extension WordPress 'Quick Page/Post Redirect', selon Security.NL. Cette extension, qui permet aux sites WordPress de
Selon Security.NL, le mécanisme est simple : avant que l'authentification n'ait lieu, le système crée un fichier de session. Un attaquant peut y inscrire des valeurs arbitraires, par exemple en se déclarant utilisateur root, puis recharger ce fichier pour obtenir un accès complet. Aucun mot de passe n'est nécessaire.
Plusieurs facteurs rendent cette situation plus préoccupante qu'une mise à jour logicielle ordinaire :
cPanel a publié une mise à jour de sécurité le 28 avril 2026, accompagnée de scripts de détection pour aider à déterminer si un système a déjà été compromis.
Si votre site web est hébergé sur un compte géré via cPanel ou WHM, la démarche la plus importante est de contacter votre hébergeur et de lui demander s'il a appliqué la mise à jour de sécurité pour CVE-2026-41940. Il n'est pas nécessaire de maîtriser les aspects techniques pour poser cette question. Si votre hébergeur utilise une version de cPanel en fin de vie, interrogez-le sur ses plans de migration vers une version maintenue.
Vous pouvez également consulter notre guide de sécurité pour les petites entreprises pour des conseils pratiques afin de protéger votre site web.
Si votre site est hébergé sur un compte basé sur cPanel, c'est votre hébergeur qui est responsable de l'application de ce correctif, mais il vaut la peine de le vérifier directement auprès de lui. Un compte d'hébergement compromis pourrait donner à un attaquant un contrôle total sur votre site, y compris l'accès aux données de vos clients ou la possibilité de modifier votre contenu. Rester en contact avec votre hébergeur lors d'incidents de sécurité actifs comme celui-ci est une démarche simple et raisonnable.
Une décision de la Commission nationale de l'informatique et des libertés soulève des questions qui dépassent le seul cadre de cette affaire, y compris pour les petites entreprises françaises.
Une faille de sécurité grave dans les logiciels cPanel et WHM est actuellement exploitée activement, et l'ampleur du problème est significative. Si votre site web est hébergé sur un compte géré via cP