CVE-2026-41940: تهديد cPanel من نوع Zero-Day الذي يجب على كل مسؤول نظام إصلاحه الآن

في عالم استضافة الويب، يُعد cPanel & WHM بمثابة "مفاتيح المملكة". لسوء الحظ، تم اكتشاف ثغرة أمنية ضخمة للتو تترك الباب الأمامي مفتوحًا على مصراعيه بشكل فعال.

في 28 أبريل 2026، تم الكشف علنًا عن ثغرة أمنية حرجة لتجاوز المصادقة، تم تتبعها باسم CVE-2026-41940. وبدرجة CVSS تبلغ 9.8/10، فإن هذا ليس مجرد خطأ آخر، بل هو عيب كارثي يسمح للمهاجمين غير المصادق عليهم بالحصول على وصول الجذر (root access) إلى خوادمك.

ما هو CVE-2026-41940؟

تنشأ الثغرة الأمنية من عيب فني في كيفية تعامل خدمة cPanel الخفية (cpsrvd) مع ملفات الجلسة. على وجه التحديد، تتضمن حقن Carriage Return Line Feed (CRLF) أثناء عملية تسجيل الدخول.

عند محاولة تسجيل الدخول، يقوم النظام بإنشاء ملف جلسة مؤقت على القرص. اكتشف المهاجمون أنه يمكنهم التلاعب برؤوس معينة لحقن أحرف "سطر جديد" في هذه الملفات. وبذلك، يمكنهم إدخال معلمات خاصة بهم — مثل user=root — مباشرة في بيانات الجلسة.

النتيجة: يقرأ النظام الملف الذي تم التلاعب به، ويعتقد أن المهاجم مصادق عليه بالفعل كمستخدم الجذر (root)، ويمنحه تحكمًا إداريًا كاملاً دون الحاجة إلى كلمة مرور صالحة على الإطلاق.

لماذا يُعد هذا "إنذارًا أحمر" لبنيتك التحتية

تُعد هذه الثغرة الأمنية خطيرة بشكل خاص لثلاثة أسباب:

1. استغلال Zero-Day: تشير الأدلة إلى أن المتسللين كانوا يستغلون هذا العيب بصمت في الواقع منذ أواخر فبراير 2026، قبل وقت طويل من توفر التصحيح.
2. لا حاجة لبيانات الاعتماد: على عكس هجمات التصيد الاحتيالي أو القوة الغاشمة، لا يتطلب هذا الاستغلال أي معرفة مسبقة بكلمات المرور أو أسماء المستخدمين الخاصة بك.
3. تأثير على مستوى الخادم: نظرًا لأن WHM (WebHost Manager) يدير الخادم بأكمله، فإن اختراقًا واحدًا يعرض كل موقع ويب وقاعدة بيانات وحساب بريد إلكتروني مستضاف على هذا الجهاز للخطر.

هل أنت في خطر؟

إذا كنت تستخدم إصدارات cPanel & WHM من 11.40 إلى 11.136، ولم تقم بالتحديث خلال الـ 72 ساعة الماضية، فمن المحتمل أن يكون خادمك عرضة للخطر.

اتخذ مزودو الاستضافة الرئيسيون مثل Namecheap و KnownHost بالفعل إجراءات طارئة، مثل حظر المنافذ 2083 و 2087 مؤقتًا، لحماية عملائهم أثناء نشر التصحيحات.

البرامج المتأثرة:

• cPanel & WHM (جميع الإصدارات المدعومة قبل إصدار 28 أبريل)
• WP Squared (منصة استضافة خاصة بـ WordPress)
• cPanel DNSOnly

كيفية تأمين خوادمك فورًا

1. فرض تحديث النظام

الطريقة الأكثر فعالية لمعالجة هذا الخطر هي التحديث إلى أحدث إصدار مصحح. قم بتشغيل الأمر التالي عبر SSH كمستخدم الجذر (root):

Bash

/scripts/upcp --force

2. التحقق من إصدارك

بمجرد اكتمال التحديث، تحقق من أنك تستخدم إصدارًا آمنًا عن طريق تشغيل:

Bash

/usr/local/cpanel/cpanel -V

الإصدارات الآمنة تشمل:

• 11.136.0.5
• 11.134.0.20
• 11.132.0.29
• 11.126.0.54
• 11.118.0.63
• 11.110.0.97

3. تدقيق للكشف عن الاختراق

نظرًا لأن هذه كانت ثغرة Zero-Day، فإن التصحيح يمنع الهجمات المستقبلية فقط. يجب عليك التحقق مما إذا كنت قد تعرضت للاختراق بالفعل. ابحث عن:

• إدخالات غير متوقعة في /var/cpanel/sessions/raw/.
• مفاتيح SSH جديدة وغير معروفة في /root/.ssh/authorized_keys.
• مهام cron أو عمليات غير عادية على مستوى الجذر (root).

البقاء في المقدمة مع Monitic

في عصر يمكن أن تظل فيه ثغرات Zero-Day مخفية لأشهر، لم يعد الأمن التفاعلي كافيًا.

في Monitic، نؤمن بصحة البنية التحتية الاستباقية. من خلال استخدام أدوات المراقبة المركزية و RMM، يمكنك الحصول على رؤية فورية لوضع الأمان لخادمك، مما يضمن تطبيق التصحيحات الهامة لحظة إصدارها، والإبلاغ عن أي سلوك غير طبيعي قبل أن يتحول إلى كارثة.

لا تنتظر الإشعار التالي. تأكد من تحديث أنظمتك، ومراقبة منافذك، وتأمين بياناتك.

لمزيد من التحليلات الفنية المتعمقة وتحديثات أمان البنية التحتية، تابع مدونة Monitic.

#الأمن_السيبراني #cPanel #استضافة_الويب #مسؤول_نظام #CVE202641940 #أمان_الخادم #MoniticRMM

هل يلبي هذا المستوى الفني متطلبات المطورين وأصحاب المصلحة لديكم، أم يجب أن نركز أكثر على ميزات المراقبة الخاصة بـ RMM التي تقدمها Monitic؟