cPanel & WHMに認証欠如の脆弱性(CVE-2026-41940)— 認証なしで管理パネル乗っ取り、ランサムでの悪用も確認
広く使われるホスティング管理パネル「cPanel & WHM」とWP2に、ログイン処理での認証欠如の脆弱性。認証されていない遠隔の攻撃者が管理パネルに不正アクセスできる。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載(CVSS 9.8 Critical)。
脆弱性の基本情報
- CVE番号CVE-2026-41940
- CVSS基本値9.8 CRITICAL
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)WebPros cPanel & WHM and WP2 (WordPress Squared)
- CWECWE-306
- 悪用状況CISA KEV 掲載(実際の悪用を確認)/ランサムウェアでの悪用も確認
- 是正期限2026-05-03(米連邦民生機関・BOD 22-01)
要点
CVE-2026-41940は、WebPros cPanel & WHM(WebHost Manager)および WP2 (WordPress Squared) に存在する、重要機能の認証欠如(CWE-306:Missing Authentication for Critical Function)の脆弱性だ。CISAのKEVカタログに2026年4月30日付で追加され、ランサムウェアでの悪用も確認されている。
NVDの説明によれば、ログインフローに認証バイパスがあり、認証されていない遠隔の攻撃者が管理パネル(コントロールパネル)に不正アクセスできる。cPanel & WHMは、Webサーバ上のサイト・メール・データベース・ドメイン等を一元管理する、ホスティング業界で最も広く使われる管理パネルの一つだ。ここを認証なしで掌握されると、攻撃者はそのサーバ上の多数のWebサイトやデータを操作でき、被害が一気に拡大しうる。
さらにCISAはランサムウェアキャンペーンでの悪用も確認しており、優先度は高い。共有ホスティングのように1台のサーバで多数の顧客サイトを収容する構成では、管理パネルの侵害が連鎖的な被害につながる危険がある。
【対応の要点】WebPros/cPanel公式の指示に従って修正・緩和策を適用する。クラウド利用時はBOD 22-01に準拠し、緩和策がなければ使用中止も検討する。管理パネルのインターネット公開範囲の最小化や多要素認証の徹底も有効だ。連邦民生機関の是正期限は2026年5月3日と短い。
なぜ重要か
ホスティングの要となる管理パネルの認証欠如+ランサム悪用確認。ホスティング事業者やサーバ管理者は、即時の修正適用、管理パネルの公開最小化、多要素認証、バックアップ点検が要点。1台の侵害が多数サイトに波及するリスクを踏まえた対応が要る。
よくある質問(FAQ)
cPanel & WHMとは?
なぜ被害が大きくなりうるのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。