Vulnerabilidade no cPanel compromete mais de 40 mil servidores

Mais de 40 mil servidores podem estar comprometidos numa campanha ativa que explora uma vulnerabilidade crítica no cPanel, segundo a Shadowserver Foundation.

A falha, identificada como CVE-2026-41940, permite contornar mecanismos de autenticação e obter acesso administrativo completo à plataforma cPanel & WebHost Manager (WHM), amplamente utilizada na gestão de servidores e websites.

Explorada como zero-day desde pelo menos fevereiro, a vulnerabilidade ganhou maior expressão após a sua divulgação pública no final de abril e a publicação de detalhes técnicos por investigadores de segurança.

O ataque permite a invasores não autenticados assumir o controlo total dos sistemas, comprometendo configurações, bases de dados e todos os sites geridos na plataforma.

A exploração baseia-se na manipulação de cabeçalhos de autenticação, permitindo inserir credenciais administrativas em ficheiros de sessão e forçar a sua utilização para obter acesso privilegiado.

Dados da Shadowserver Foundation indicam um pico de atividade com dezenas de milhares de sistemas potencialmente afetados, embora o número tenha diminuído nos últimos dias. A maioria dos sistemas comprometidos localiza-se nos Estados Unidos, seguida por França e Países Baixos. Em Portugal, à data de publicação deste artigo, a Shadowserver Foundation identificava 88 instalações potencialmente comprometidas.

Estima-se que existam cerca de 1,5 milhões de instâncias cPanel expostas à internet, o que amplia significativamente a superfície de ataque.

A vulnerabilidade afeta várias versões da plataforma, sendo recomendada a atualização imediata para versões corrigidas. A CISA já incluiu o problema no seu catálogo de vulnerabilidades exploradas ativamente, exigindo correções rápidas por parte das organizações.

Especialistas alertam que, além da aplicação de patches, é essencial verificar sinais de compromisso e adotar medidas adicionais de mitigação para reduzir o impacto potencial destes ataques.