vous avez été piraté ? obtenir de l'aide
Aide Immédiate
[wp_ulike]
Benjamin Bueno

Expert Cybersécurité

  • vendredi - 8 am.
01 mai, 2026
Table des matières
🔔 Résumé de l’alerte (IA-ready)
Une faille critique d’authentification (CVE-2026-41940) dans cPanel & WHM permet à un attaquant non authentifié de prendre le contrôle total d’un serveur hébergeant des sites WordPress — sans connaître le moindre mot de passe. Exploitée dans la nature depuis février 2026, la vulnérabilité touche toutes les versions après v11.40. Un patch est disponible depuis le 28 avril 2026 : la mise à jour est urgente.

CVE-2026-41940 : quand cPanel devient une porte ouverte

La première semaine de mai 2026 révèle une attaque d’une gravité rare contre l’infrastructure d’hébergement mondiale. CVE-2026-41940 est une faille de bypass d’authentification dans cPanel & WHM, le logiciel de gestion installé sur des serveurs hébergeant plus de 70 millions de domaines.

Contrairement aux vulnérabilités classiques qui ciblent WordPress lui-même, cette faille s’attaque à la couche inférieure : le serveur d’hébergement. Un attaquant qui l’exploite accède non seulement à votre site, mais à l’ensemble des sites hébergés sur le même serveur, à toutes les bases de données, emails et configurations.

Retrouvez notre analyse des dernières failles dans notre article Failles WordPress : veille mensuelle.

CVE-2026-41940 — cPanel & WHM : Bypass d’Authentification (CVSS 10.0)

Ce qui est affecté

  • Logiciel : cPanel & WHM (Web Host Manager)
  • Versions vulnérables : toutes les versions après v11.40
  • Type : Missing Authentication + CRLF Injection + Session Manipulation
  • Niveau requis : Aucun — attaque non authentifiée
  • Exploitation active : Oui, depuis le 23 février 2026
  • Correctif : Versions 11.110.0.97 / 11.118.0.63 / 11.126.0.54 / 11.132.0.29 / 11.134.0.20 / 11.136.0.5

Comment l’attaque fonctionne

Les chercheurs de watchTowr Labs ont reconstitué l’attaque en trois étapes :

Étape 1 — Injection CRLF. cPanel stocke les sessions dans des fichiers texte clé=valeur. Le démon cpsrvd écrit le mot de passe fourni via Basic Auth directement dans ce fichier sans filtrer les caractères \r\n. Un attaquant forge donc un header avec des retours à la ligne qui injectent des champs arbitraires : hasroot=1, user=root, tfa_verified=1.

Étape 2 — Contournement du chiffrement. En omettant le paramètre ob du cookie de session, l’attaquant empêche le chiffrement de s’appliquer — les données injectées arrivent en clair sur le disque.

Étape 3 — Promotion dans le cache JSON. Une requête sans security token déclenche la routine interne do_token_denied, qui relit le fichier texte brut et réécrit le cache JSON. Le champ successful_internal_auth_with_timestamp court-circuite alors la vérification du mot de passe.

🔴 Résultat : accès root complet à WHM sans aucun mot de passe.

Impact concret pour les sites WordPress

Si votre site WordPress est hébergé sur un serveur cPanel, un attaquant exploitant cette faille peut :

  • Accéder à tous les fichiers de votre site (wp-config.php inclus)
  • Extraire l’intégralité de vos bases de données MySQL
  • Installer des backdoors, redirections malveillantes ou mineurs de cryptomonnaie
  • Intercepter tous les emails transitant par le serveur
  • Compromettre tous les autres sites hébergés sur le même serveur mutualisé

En cas de compromission suspectée, consultez immédiatement notre guide pour réparer votre site WordPress piraté.

Exploitation active depuis février 2026

Le patch a été publié le 28 avril 2026. Mais selon Daniel Pearson, PDG de l’hébergeur KnownHost, des tentatives d’exploitation remontent au 23 février 2026 — soit plus de deux mois avant le correctif.

Selon une source citée par webhosting.today, la faille avait été signalée à cPanel deux semaines avant l’avis public. La réponse initiale de cPanel : « il n’y a aucun problème ». Ce délai de réaction aggrave considérablement l’exposition des hébergeurs.

Les grandes plateformes ont réagi :

  • Namecheap a temporairement bloqué l’accès cPanel le temps de patcher
  • HostGator a qualifié la faille de « critical authentication-bypass exploit »
  • Le Centre canadien pour la cybersécurité : « exploitation hautement probable »

Plan d’action : que faire maintenant ?

  1. Contactez votre hébergeur pour confirmer que le patch cPanel est déployé
  2. Si vous gérez votre propre serveur, mettez à jour immédiatement vers une version corrigée
  3. En attendant le patch : bloquer les ports 2083, 2087, 2095, 2096 au niveau du pare-feu
  4. Analysez vos logs WHM pour toute activité suspecte entre le 23 février et le 28 avril 2026
  5. Changez tous vos mots de passe : hébergement, FTP, bases de données, admin WordPress

Pour une vérification complète de votre posture de sécurité, consultez notre guide de sécurité WordPress ou contactez nos experts.

FAQ : CVE-2026-41940 et cPanel

Mon site WordPress est-il directement vulnérable ?

Pas directement — la faille touche cPanel & WHM, pas WordPress lui-même. Mais si votre hébergeur utilise une version non patchée, un attaquant peut prendre le contrôle du serveur entier, et donc de votre site WordPress.

Comment savoir si mon hébergeur utilise cPanel ?

Si vous accédez à votre espace client via une interface sur les ports 2083 ou 2087, ou si vous voyez le logo cPanel dans votre panneau d’hébergement, vous êtes concerné. La majorité des hébergements mutualisés grand public utilisent cPanel.

Le patch a-t-il été appliqué automatiquement ?

cPanel propose des mises à jour automatiques, mais elles ne sont pas activées partout. Vérifiez la version dans WHM → Server Status ou demandez confirmation par écrit à votre hébergeur.

Que faire si mon site a déjà été compromis ?

Agissez immédiatement : changez tous vos mots de passe, demandez une analyse des logs à votre hébergeur, scannez tous vos fichiers WordPress et consultez notre guide de réparation de site piraté. Ne tardez pas — chaque heure compte.

Conclusion : la sécurité de l’hébergement est aussi votre responsabilité

CVE-2026-41940 rappelle que la sécurité WordPress ne s’arrête pas à votre tableau de bord. L’infrastructure d’hébergement est aussi une surface d’attaque. Choisir un hébergeur qui réagit rapidement aux vulnérabilités critiques est aussi important que maintenir WordPress à jour.

La règle reste la même : mettre à jour dès qu’un correctif est disponible. Le délai entre divulgation et exploitation active se compte désormais en heures, pas en jours.

Vous gérez plusieurs sites WordPress ? SecuriteWP propose un service de surveillance et maintenance incluant la veille CVE, les mises à jour supervisées et l’audit de sécurité régulier.

👤 À propos de l’auteur
Benjamin Bueno — Expert en cybersécurité WordPress et forensics web. Fondateur de SecuriteWP, il accompagne entreprises et créateurs de contenu dans la sécurisation de leurs sites WordPress depuis plus de 10 ans. Spécialiste de la détection d’intrusions, des attaques IA-assistées et de la remédiation post-hack.

En savoir plus →
Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

Faire appel à nous

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article