Informasi beberapa hari belakangan ini, terkait 'zero-day' exploit terhadap cPanel & WHM, CVE-2026-41940 ini menjadi vulnerability atau celah yang bahaya untuk authentication bypass dengan CVSS score 9.8 (Critical). Jadi celah tersebut bisa digunakan oleh remote attacker untuk login root access ke control panel tanpa user interaksi ataupun valid crendentials (account asli).
Tentu celah tersebut sangat bahaya (critical), resiko dari attackers dapat mengakses keseluruhan hosted websites, databases dan configuration files; dan bahayanya juga mengganti root password login.
Untuk informasi update bisa juga baca di artikel yang dirilis oleh cPanel Support. Artikel yang dirilis tersebut ada pembahasan juga perihal dampak, resolusi, mitigasi (required actions), dan juga disertakan detection script.
Perihal CVE-2026-41940 ini cukup mengemparkan, karena hampir hosting provider bahkan self-hosted menggunakan cPanel & WHM ini. Mungkin untuk hosting provider / managed services tentu sedikit tenang karena sudah di 'security checked'; namun yang self-hosted perlu manual cek dan patch.
Terima Kasih.
