기술 설명
WebPros cPanel & WHM과 WP2(WordPress Squared)에 중요한 인증 우회 취약점(CWE-306: 중요 기능에 대한 인증 누락)이 존재하며, 이를 통해 인증되지 않은 원격 공격자가 로그인 화면을 우회하고 자격증명 없이 웹 호스팅 제어판에 대한 완전한 관리자 액세스 권한을 얻을 수 있습니다.
공격 경로
인증되지 않은 원격 공격자가 인증 흐름의 논리 결함을 악용하여 완전한 권한으로 제어판에 액세스합니다. CISA가 야생에서의 활발한 악용을 확인했습니다. 이 취약점은 2026년 4월 28일 보안 업데이트 이전의 모든 지원되는 cPanel/WHM 버전에 영향을 미치며, 적어도 하나의 호스팅 공급자에 의해 2026년 2월 23일까지 거슬러 올라가는 확인된 악용 시도가 관찰되었습니다.
영향받는 시스템
2026년 4월 28일 이전에 출시된 버전을 실행 중인 모든 cPanel & WHM 설치 및 WP2(WordPress Squared) 시스템. 수천만 개의 웹사이트가 웹 서버 관리를 위해 cPanel에 의존하고 있으며, 이는 전 세계적으로 가장 널리 배포된 웹 호스팅 플랫폼 중 하나입니다.
완화 방안
2026년 4월 28일에 출시된 보안 업데이트를 즉시 적용하십시오. cPanel은 지원되는 모든 릴리스에 대해 패치된 버전을 공개했습니다. Namecheap, HostGator, KnownHost를 포함한 웹 호스팅 공급자가 패치 배포를 위해 고객 제어판 액세스를 일시적으로 차단했습니다. CISA BOD 22-01에 따른 복구의 연방 기한: 2026년 5월 3일. cPanel을 사용하는 조직은 호스팅 공급자에게 패치 상태를 확인하고 2026년 2월 이후 승인되지 않은 관리 세션의 액세스 로그를 감사해야 합니다.