در روزهای اخیر یک آسیب‌پذیری بسیار مهم و حیاتی با شناسه  
CVE‑2026‑41940 در کنترل‌پنل معروف cPanel & WHM / WP2 منتشر شده است.  
این آسیب‌پذیری، نسخه‌های قدیمی‌تر از آخرین به‌روزرسانی ارائه‌شده توسط cPanel را تحت تأثیر قرار می‌دهد و می‌تواند منجر به هک کامل سرور شود.  
به همین دلیل تمامی مدیران سرور لازم است فوراً اقدامات امنیتی و به‌روزرسانی را انجام دهند.

اهمیت آسیب‌پذیری و سطح خطر  

با توجه به نوع این آسیب‌پذیری، مهاجم می‌تواند با سوءاستفاده از سرویس‌های حیاتی سی‌پنل، کنترل کامل را به دست بگیرد.  
این موضوع به‌ویژه برای سرورهایی که:

- در ایران قرار دارند
- به‌دلیل محدودیت‌های اینترنت به مخازن بسته‌ها دسترسی کامل ندارند
- یا مدت طولانی به‌روزرسانی نشده‌اند

خطر بسیار بیشتری ایجاد می‌کند.

 

پیش‌نیازهای مهم برای به‌روزرسانی cPanel  

۱. فعال بودن دسترسی YUM / DNF / APT  

  به‌روزرسانی cPanel تنها در صورتی انجام می‌شود که ابزارهای مدیریت بسته مانند:

- yum / dnf (در AlmaLinux، RockyLinux، CentOS، CloudLinux)
- apt (در Ubuntu)

به‌درستی کار کنند.

در سرورهای داخل ایران لازم است از سرویس بشکون استفاده شود تا دسترسی به مخازن بدون مشکل برقرار باشد. ( این سرویس را می‌توانید به صورت رایگان از ما دریافت نمایید لینک)

 

 ۲. تنظیم صحیح DNS Resolver   

فایل `/etc/resolv.conf` باید حداقل یک DNS Resolver سالم داشته باشد تا سرور بتواند دامنه‌ها را بدون اختلال resolve کند.

نمونه صحیح:

nameserver 194.225.152.12
nameserver 185.161.112.34
nameserver 185.161.112.33
nameserver 217.218.155.155
nameserver 217.218.127.127

 

مراحل به‌روزرسانی cPanel برای رفع آسیب‌پذیری CVE‑2026‑41940

در ادامه مراحل به‌روز کردن سیستم‌عامل و خود cPanel آورده شده است.

 ۱. بررسی اجرای صحیح دستورات بسته‌بندی AlmaLinux / RockyLinux / CentOS / CloudLinux

yum makecache 
yum update -y

 Ubuntu

apt update
apt upgrade -y

برای CentOS 7 یا CloudLinux 7
یک تنظیم اضافی ضروری است:

sed -i 's/^CPANEL=.*/CPANEL=11.110/' /etc/cpupdate.conf

۲. اجرای آپدیت اصلی cPanel

/scripts/upcp --force

۳. بررسی نسخه cPanel

cat /usr/local/cpanel/version

نسخه نهایی باید یکی از نسخه‌های امن زیر باشد:

- 11.86.0.41  
- 11.110.0.97  
- 11.118.0.63  
- 11.126.0.54  
- 11.130.0.19  
- 11.132.0.29  
- 11.134.0.20  
- 11.136.0.5  

اگر نسخه شما خارج از این محدوده باشد، سرور همچنان آسیب‌پذیر است.

 

در صورت عدم امکان آپدیت فوری

اگر هنگام اجرای آپدیت خطا دریافت کردید، برای جلوگیری از هک شدن می‌توانید به‌صورت موقت و بدون قطعی سایت سرویس‌های حساس cPanel را غیرفعال کنید:

whmapi1 configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd --stop 

این کار سرویس‌هایی را که احتمال سوءاستفاده از آن‌ها وجود دارد غیرفعال می‌کند تا فرصت بررسی و رفع مشکل فراهم شود.

 

جمع‌بندی   

آسیب‌پذیری CVE‑2026‑41940 یکی از جدی‌ترین تهدیدهای اخیر برای سرورهای دارای cPanel است.  
تمامی مدیران سرور باید هرچه سریع‌تر اقدام به:

- فعال‌سازی مخازن سیستم‌عامل  
- رفع مشکلات DNS Resolver  
- به‌روزرسانی کامل cPanel  
- یا غیرفعال‌سازی موقت سرویس‌های حساس  

نمایند.

 

اگر سرور آلوده شده بود چه کنیم؟

اگر پس از بررسی متوجه شدید که سرور شما پیش از به‌روزرسانی مورد حمله قرار گرفته یا علائم مشکوکی مشاهده می‌کنید، باید بدون فوت وقت اقدامات زیر را به ترتیب انجام دهید:

۱. ابطال تمامی دسترسی‌های فعلی (پاکسازی سشن‌ها)

اولین قدم، قطع دسترسی هکر یا کدهای مخرب از نشست‌های فعال است.

پاکسازی سشن‌های PHP

/usr/local/cpanel/scripts/clean_user_php_sessions


خروج اجباری تمامی کاربران و پاکسازی سشن‌های cPanel:
   با اجرای اسکریپت زیر، تمامی کاربران لاگین شده (از جمله نفوذگر) بلافاصله لاگ‌اوت می‌شوند:

wget https://dl.dornadevops.com/cpanel/purge-session.sh && chmod +x purge-session.sh && bash purge-session.sh

۲. بررسی نشانه‌های نفوذ (IOC Check)
برای اطمینان از اینکه آیا سشن‌های شما آلوده شده‌اند یا خیر، از اسکریپت شناسایی نشانه‌های آلودگی (Indicators of Compromise) استفاده کنید:

wget https://dl.dornadevops.com/cpanel/ioc_checksessions_files.sh && chmod +x ioc_checksessions_files.sh && bash ioc_checksessions_files.sh

۳. تغییر تمامی اعتبارنامه‌ها (Credentials)
پس از قطع سشن‌ها، باید تمامی مسیرهای ورود مجدد را مسدود کنید:
تغییر رمز عبور کاربران: از طریق ابزار Force Password Change در پنل WHM، تمامی کاربران را مجبور به تغییر رمز عبور کنید.
امنیت سطح ریشه (Root): رمز عبور کاربر root را فوراً تغییر داده و پورت SSH سرور را به یک پورت غیرپیش‌فرض منتقل کنید.

۴. اسکن عمیق و شناسایی مخرب‌ها
کل سرور را با یک آنتی‌شل و اسکنر قدرتمند (مانند Imunify360) اسکن کنید تا فایل‌های تزریق شده یا بک‌دورهای احتمالی شناسایی و حذف شوند.

 ۵. تحلیل لاگ‌ها و شناسایی نفوذ (نکته بسیار مهم)
اگر در خروجی دستورات بررسی سی‌پنل، متنی مشابه زیر مشاهده کردید، سرور شما قطعاً هدف حمله قرار گرفته است:

[!] CRITICAL: Exploitation artifact - token_denied with injected cp_security_token
- Verdict: Session was pre-auth (badpass origin) with attacker-injected token
- USED: 78.12.54.127 - root [04/30/2026:22:33:20] ... "python-requests/2.31.0"

تحلیل خروجی:
*   اگر IP مشاهده شده (در اینجا `78.12.54.127`) متعلق به شما نیست، یعنی سشن مدیریت شما ربوده شده است.
*   در این حالت باید History SSH و تمامی لاگ‌های دسترسی سرور را با دقت بازبینی کنید.

 ۶. راهکار نهایی: مهاجرت به سرور امن
اگر علائم زیر را مشاهده کردید، پاکسازی دستی ریسک بالایی دارد و امنیت سرور دیگر قابل تضمین نیست:
*   تغییر خودکار رمز عبور روت.
*   تایید ایجاد بک‌دور یا تزریق کدهای غیرقابل حذف.
*   مشاهده فعالیت‌های مشکوک مداوم.

اقدام لازم:
1.  در فایروال سخت‌افزاری یا نرم‌افزاری، تمامی IPها به جز IP خودتان و IP سرور جدید را مسدود کنید.
2.  از تمامی یوزرها به‌صورت جداگانه بک‌آپ تهیه کنید.
3.  یک سرور جدید با سیستم‌عامل خام و آخرین نسخه امن cPanel راه‌اندازی کرده و یوزرها را به آن منتقل نمایید.

 

در صورت داشتن هرگونه سوال یا مشکل در آپدیت لطفا  تیکت ارسال نمایید.

برچسب‌ها:
#سیپنل #امنیت #آسیبـپذیری