技術的な説明
WebPros cPanel & WHMおよびWP2 (WordPress Squared)は、認証なしのリモート攻撃者がログイン画面をバイパスし、認証情報なしでウェブホスティングコントロールパネルへの完全な管理者アクセスを取得できるようにする重大な認証バイパス脆弱性(CWE-306: Critical Functionの認証の欠落)を含んでいます。
攻撃経路
認証なしのリモート攻撃者は、認証フロー内のロジック欠陥を悪用してコントロールパネルに完全な権限でアクセスします。CISAはアクティブな野生での悪用を確認しています。この脆弱性は2026年4月28日のセキュリティアップデート前にリリースされたすべてのサポート対象のcPanel/WHMバージョンに影響を与え、2026年2月23日にさかのぼる確認されたエクスプロイト試行が少なくとも1つのホスティングプロバイダーで観測されています。
影響を受けるシステム
2026年4月28日前にリリースされたバージョンを実行しているすべてのcPanel & WHMインストールおよびWP2 (WordPress Squared)システム。数千万のウェブサイトがウェブサーバー管理にcPanelに依存しており、これを世界で最も広くデプロイされているウェブホスティングプラットフォームの1つにしています。
緩和策
2026年4月28日にリリースされたセキュリティアップデートをただちに適用してください。cPanelはすべてのサポート対象リリースに対してパッチ適用済みバージョンを公開しています。Namecheap、HostGator、およびKnownHostを含むウェブホスティングプロバイダーは、パッチをデプロイするために顧客パネルアクセスを一時的にブロックしました。CISA BOD 22-01に従った修復の連邦期限: 2026年5月3日。cPanelを使用している組織は、ホスティングプロバイダーのパッチステータスを確認し、2026年2月以降の不正な管理セッションについてアクセスログを監査する必要があります。