CVE-2026-41940 في cPanel: 70 مليون نطاق في خطر

نُشر في مايو 2, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

CVE-2026-41940 ثغرة تجاوز مصادقة بحقن CRLF بدرجة CVSS 9.8 في cPanel و WHM تؤثر على أكثر من 70 مليون نطاق و1.5 مليون نسخة مكشوفة. بدأ الاستغلال في 23 فبراير 2026 — 65 يوماً قبل الإفصاح العلني في 29 أبريل. أضافتها CISA إلى كتالوج KEV في 30 أبريل مع موعد نهائي في 3 مايو. تمثّل الحالة دراسة في إخفاق الإفصاح المسؤول حين يمتلك المهاجمون أفضلية استغلال مستقلة.

الخلاصة: يجب على المؤسسات التي تستخدم بنية تحتية مستضافة على cPanel تأكيد حالة الرقعة مع مزوديها وطلب تحقيق في الحوادث يغطي نافذة الاستغلال من 23 فبراير إلى 29 أبريل — مع التعامل مع هذا الأمر بوصفه حدث اختراق محتمل وليس مجرد تطبيق رقعة.

اقرأ التحليل الكامل ↓

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

🧭 رادار القرار

الصلة بالجزائر
عالية
▾

يهيمن مزودو استضافة يعملون بـ cPanel على سوق استضافة المؤسسات الصغيرة والمتوسطة في الجزائر بما فيهم Octenium و AYRADE و ICOSNET. تعمل معظم مواقع المؤسسات الصغيرة والمتوسطة الجزائرية على استضافة cPanel مشتركة. نافذة الاستغلال لشهرين تعني أن المواقع المستضافة في الجزائر ربما تأثرت قبل تطبيق الرقعة.

البنية التحتية جاهزة؟
جزئياً
▾

آليات التحديث التلقائي لـ cPanel تعمل حين تكون مُفعَّلة، لكن كثيراً من موزعي الاستضافة الجزائريين العاملين على مراكز بيانات أوروبية يعتمدون على المزودين المنبع للتصحيح. الرؤية على حالة الرقعة متفاوتة.

المهارات متوفرة؟
جزئياً
▾

المزودون الكبار لديهم فرق IT قادرة على التصحيح. الموزعون الجزائريون الأصغر ومديرو IT في المؤسسات الصغيرة يفتقرون إلى مهارات الطب الشرعي للتحقيق في الاختراق المحتمل خلال نافذة الاستغلال من فبراير إلى أبريل.

الجدول الزمني للتنفيذ
فوري
▾

الموعد النهائي لـ CISA في 3 مايو مضى. أي تثبيت cPanel غير مُرقَّع متأخر؛ يجب أن يكون التحقيق في نافذة الاستغلال قيد التنفيذ.

أصحاب المصلحة الرئيسيون
مزودو الاستضافة، مديرو IT في المؤسسات الصغيرة، DZ-CERT

نوع القرار
تكتيكي
▾

خطوات تصحيح ملموسة وصيد مؤشرات الاختراق والتحقق من سلسلة التوريد مطلوبة هذا الأسبوع — ليس تقييماً استراتيجياً على المدى البعيد.

خلاصة سريعة: يجب على المؤسسات التي تستخدم بنية تحتية مستضافة على cPanel تأكيد حالة الرقعة مع مزودها وطلب تغطية التحقيق في الحوادث لنافذة الاستغلال من 23 فبراير إلى 29 أبريل. المؤسسات التي تُشغّل نسخ cPanel الخاصة بها تحتاج إلى التعامل مع هذا بوصفه حدثاً باختراق محتمل يستلزم تحقيقاً جنائياً، لا مجرد تطبيق رقعة.

الثغرة المختبئة في العلن: حقن CRLF في إدارة الجلسات

أطلق الباحث Sina Kheirkhah من watchTowr Labs على إفصاحه عنوان “الإنترنت ينهار” — إشارةً إلى حجم التعرض لا إلى مبالغة. CVE-2026-41940 ثغرة حقن CRLF (إعادة الحامل + السطر الجديد) في منطق تحميل وحفظ الجلسات في cPanel و WHM، وهو برنامج لوحة التحكم الذي تقدر WebPros International أنه يدير أكثر من 70 مليون نطاق حول العالم.

الآلية التقنية بسيطة في أناقتها. دالة saveSession في cPanel تفشل في تعقيم حرفَي r و n من حقول كلمة المرور حين يكون تشفير الجلسة بالغموض معطّلاً — وهو شرط يحدث عندما تفتقر كوكيز الجلسة إلى مفتاح البادئة المتوقع. بصياغة رأس Authorization: Basic خبيث يحتوي بيانات اعتماد مفكوكة التشفير تتضمن محارف rn، يستطيع المهاجم حقن أزواج مفتاح-قيمة عشوائية في ملف الجلسة على القرص. يكفي حقن حقلَي successful_internal_auth_with_timestamp و user=root لتجاوز جميع خطوات التحقق من كلمة المرور اللاحقة. لا تستلزم الهجمة أي بيانات اعتماد صالحة أو تفاعل مستخدم، وتنجح عن بُعد عبر الشبكة — ثلاث خصائص أهّلتها للحصول على درجة CVSS 3.1 البالغة 9.8.

صنّفت NVD الضعف تحت CWE-306 (مصادقة مفقودة لوظيفة حرجة) وأسندت إليه درجتين: CVSS 4.0 بقيمة 9.3 و CVSS 3.1 بقيمة 9.8. جميع إصدارات cPanel و WHM من 11.40 إلى 11.136.0.4 معرضة للخطر. منصة WP Squared للاستضافة المُدارة لـ WordPress، المبنية على cPanel، كانت متأثرة أيضاً وجرى إصلاحها في الإصدار 136.1.7.

ثلاثة إشارات مخفية في بنية الإفصاح

الإشارة 1: نافذة الاستغلال لشهرين تكشف خللاً في الإفصاح المسؤول

يُشير قيد CISA للثغرة CVE-2026-41940 إلى أن الاستغلال الفعلي بدأ في العالم منذ 23 فبراير 2026 على الأقل. صدر الإعلان العلني في 29 أبريل — فجوة تبلغ نحو 65 يوماً. أُبلغ البائع قبل نحو أسبوعين من الإعلان في 28 أبريل، ما يعني أن مجتمع المهاجمين حاز أفضلية تقارب 60 يوماً على المدافعين.

هذا هو نمط الإخفاق الجوهري في الإفصاح المنسّق عن الثغرات حين يكتشف الباحثون عيوباً تُستغل بالفعل: ضُغط الجدول الزمني للإفصاح المسؤول (الذي يمتد عادةً 90 يوماً)، غير أن الضرر كان قد وقع. يُشير تحليل Rapid7 إلى أن النافذة المدتها ساعتان بين الإعلان وإصدار الرقعة (كانت رقع cPanel جاهزة في غضون ساعات من الإفصاح في 28 أبريل) تدل على أن البائع علم بالثغرة قبل الفترة الرسمية للإشعار — ما يطرح تساؤلات حول سبب عدم نشر الرقع بصمت عبر آلية التحديث التلقائي لـ cPanel قبل الإفصاح العلني.

الإشارة 2: 1.5 مليون نسخة مكشوفة تعني أن صناعة الاستضافة لديها مشكلة سطح هجوم

كشف فحص Shodan عن نحو 1.5 مليون نسخة cPanel و WHM مكشوفة على الإنترنت العام. هذه لوحات تحكم — واجهات إدارية لإدارة خوادم الويب — لا تحتاج في معظم الحالات إلى أن تكون متاحة للعموم أصلاً. تخدم WHM (المنفذ 2087) وcPanel (المنفذ 2083) موظفي مزودي الاستضافة وأصحاب المواقع على التوالي، ولا يستلزم أيٌّ منهما الوصول من عناوين IP عشوائية.

المشكلة الهيكلية هي نموذج الاستضافة المشتركة الذي يُتيحه cPanel، إذ يخلق علاقة مخاطر واحد-لكثيرين. يُتيح تجاوز مصادقة ناجح واحد على نسخة WHM للمهاجم وصولاً بصلاحيات root إلى كل موقع على ذلك الخادم — ربما الآلاف. النسخ المكشوفة البالغة 1.5 مليون تمثّل الحد الأقصى لسطح الهجوم؛ أما سطح الضرر الفعلي فهو كل موقع على تلك الخوادم.

الإشارة 3: دورة الرقع لساعتين نموذج للاستجابة للثغرات الحرجة

تستحق استجابة cPanel الزمنية الإشادة: رقع لجميع فروع الإصدارات المدعومة (11.110، 11.118، 11.126، 11.132، 11.134، 11.136) توفّرت في غضون ساعات من إعلان 28 أبريل. أصدر المركز الكندي للأمن السيبراني (CCCS) تنبيه AL26-008. حدّثت CISA كتالوج KEV في 30 أبريل. نسّقت كبرى بائعي الأمن (Rapid7، Malwarebytes، watchTowr، The Hacker News) نشر التقارير.

هذا ما تبدو عليه الاستجابة المنسّقة جيداً للإفصاح — حتى حين سبقت نافذة الاستغلال ذلك. يُثبت النموذج أن كبار بائعي البنية التحتية على الويب قادرون على ضغط الجداول الزمنية من الرقعة إلى الإعلان حين يختارون ذلك. كان الإخفاق في مرحلة الاكتشاف-الإخطار، لا في مرحلة البائع-الرقعة.

ما يجب على فرق أمن المؤسسات فعله

1. تعامل مع هذا الأمر بوصفه تقييم مخاطر سلسلة توريد على مستوى الاستضافة

بالنسبة للمؤسسات التي تعتمد على الاستضافة المُدارة — منصات SaaS أو البنية التحتية للتجارة الإلكترونية أو استضافة تطبيقات الويب — CVE-2026-41940 هو حدث مخاطر سلسلة التوريد. لا يمكنك مباشرةً تصحيح تثبيت cPanel لمزود الاستضافة، لكن يمكنك المطالبة بتأكيد تطبيق الرقعة وطلب دليل على التحقيق في الاستغلال المحتمل خلال الفترة من فبراير إلى أبريل.

عادةً تسأل استبيانات الأمن القياسية عن سياسات إدارة الرقع لكنها لا تسأل عن الجداول الزمنية لمعالجة CVE بعينها. أضف بنداً إلى مراجعات أمان الموردين: “تأكيد الإصدار المُرقَّع ومراجعة مؤشرات الاختراق لـ CVE-2026-41940.” إذا لم يستطع مزود الاستضافة تأكيد حالة الرقعة والتحقيق في الحوادث، صعّد الأمر عبر علاقة الشراء.

2. دقّق تثبيتات cPanel الخاصة بك بحثاً عن اختراق قبل إعلان السلامة

أي مؤسسة تُشغّل تثبيتاً خاصاً بها لـ cPanel/WHM كان متاحاً عبر الإنترنت بين فبراير وأبريل 2026 عليها إجراء تحقيق في الحوادث، لا الاكتفاء بتطبيق الرقعة. ابحث عن: طلبات تحتوي rn في رؤوس Authorization في سجلات وصول Apache/nginx، حسابات cPanel غير متوقعة أُنشئت خلال نافذة الاستغلال، تعديلات على /etc/passwd أو /etc/shadow، مهام cron جديدة أو إضافات لـ SSH authorized_keys منذ 23 فبراير، وتعديلات ملفات في جذور الويب عبر المواقع المستضافة.

تُغلق الرقعة الثغرة؛ لكنها لا تطرد مهاجماً ربما أسّس ثباتاً قبل 28 أبريل.

3. قيّد كشف WHM عبر القائمة البيضاء للـ IP بوصفه ضبطاً أساسياً

المنفذ 2087 (WHM) يجب ألا يكون متاحاً للعموم أبداً. بعد التصحيح، طبّق قائمة بيضاء للـ IP لتقييد الوصول إلى WHM على نطاقات IP المسؤولين فحسب. هذا ليس حلاً بديلاً لـ CVE-2026-41940 — إنه ضبط أمني أساسي للاستضافة كان ينبغي أن يكون موجوداً أصلاً. النسخ المكشوفة البالغة 1.5 مليون التي رصدها Shodan تمثّل مؤسسات أغفلت هذه الخطوة الأساسية للتقوية.

لمزودي الاستضافة الذين يديرون بنية تحتية مشتركة، يجب أن تكون المصادقة الثنائية لـ WHM إلزامية — لا بوصفها إجراءً للتخفيف من هذه الثغرة بالذات (التي تجاوزتها)، بل كضبط دفاع متعمق ضد الهجمات القائمة على بيانات الاعتماد التي تظل ناقل الهجوم الأكثر شيوعاً لـ WHM.

السؤال الحوكمي: من يتحمل المسؤولية على نطاق واسع؟

تطرح CVE-2026-41940 سؤالاً حوكمياً يتجاوز هذه الثغرة بالذات: من المسؤول حين يُعرِّض إخفاق مصادقة بائع برمجيات واحد 70 مليون نطاق للخطر؟ موقع cPanel في سوق الاستضافة المشتركة شبه احتكاري في قطاع الميزانية والسوق المتوسطة. توجد لوحات تحكم بديلة (Plesk، DirectAdmin، CyberPanel) لكنها تفتقر إلى عمق نظام بيئي cPanel.

هذا التركيز يخلق مخاطر نظامية. حين تعاني cPanel من تجاوز مصادقة حرج، يتأثر سوق الاستضافة المشتركة بأكمله في الوقت ذاته. هذا مشابه لسيناريو Log4Shell للمكتبات اللوغاريتمية — تبعية واحدة شاملة تخلق سطح هجوم عالمياً. الفرق أن Log4Shell أتاحت نافذة رقعة مدتها 14 يوماً لمعظم المؤسسات؛ أما cPanel فتُشغّل بنية تحتية حيوية (البريد الإلكتروني، DNS، التحكم في الاستضافة) لملايين الشركات التي تعتمد على مزودي استضافة صغار لا يملكون موظفين متخصصين في الأمن.

صُمِّم إطار الإفصاح المسؤول لهذا الغرض بالضبط: يحصل البائعون على وقت للتصحيح قبل أن يعلم المهاجمون بالتفاصيل. تُظهر CVE-2026-41940 أنه حين يعلم المهاجمون بالفعل — بأفضلية استغلال 60 يوماً — يحتاج الإطار إلى آلية ثانوية للنشر الصامت للرقع قبل الإفصاح، لا سيما للبرمجيات على مستوى البنية التحتية بهذا الحجم.

أسئلة متكررة

لماذا حصل المهاجمون على أفضلية شهرين قبل الرقعة؟

كانت CVE-2026-41940 تُستغل فعلياً منذ 23 فبراير 2026 على الأقل، لكن إعلان البائع لم يصدر حتى 29 أبريل. أُبلغ البائع قبل نحو أسبوعين من 28 أبريل. هذا يعني أن مجتمع المهاجمين اكتشف الثغرة باستقلالية — أو حصل على معرفتها بطرق أخرى — واستغلها نحو 60 يوماً قبل إخطار المدافعين. يمثّل ذلك إخفاقاً في مرحلة الاكتشاف-الإخطار من الإفصاح المسؤول، لا في مرحلة استجابة البائع (التي كانت سريعة: رقع أُصدرت في غضون ساعات من الإعلان).

كيف يتجاوز حقن CRLF المصادقة فعلياً؟

تستغل الهجمة تنسيق ملف جلسة cPanel. حين تفتقر كوكيز الجلسة إلى بادئة الغموض ، تتخطى cPanel ترميز كلمة المرور قبل كتابة بيانات الجلسة على القرص. بحقن محارف rn عبر رأس Authorization، يُدرج المهاجم سطوراً عشوائية في ملف الجلسة. تحديداً، حقن successful_internal_auth_with_timestamp=[any_value]nuser=root ينشئ إدخالات تُرقَّى، عند إعادة تحليل الجلسة، إلى مفاتيح ذاكرة تخزين JSON على المستوى الأعلى. يجد التحقق من صحة مصادقة cPanel هذه الحقول المحقونة ويعامل الجلسة على أنها مصادَق عليها بالفعل بوصول root — دون التحقق من كلمة مرور حقيقية قط.

ما هو WP Squared ولماذا تأثر هو الآخر؟

WP Squared منصة استضافة WordPress مُدارة مبنية على حزمة البنية التحتية لـ cPanel، طوّرتها WebPros International (الشركة الأم لـ cPanel). لأنها ترث كود إدارة جلسات cPanel، حملت ثغرة حقن CRLF ذاتها. جرى تصحيحها في الإصدار 136.1.7 إلى جانب إصلاحات cPanel و WHM. يجب على المؤسسات التي تستخدم WP Squared لنشر WordPress المُدار التحقق من إصدار منصتها وإجراء التحقيق ذاته في مؤشرات الاختراق لنافذة فبراير-أبريل.

—