-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in cPanel en WHM Advisory ID : NCSC-2026-0130 Versie : 1.00 Kans : high CVE ID : CVE-2026-41940 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Missing Authentication for Critical Function Uitgiftedatum : 20260430 Toepassing : cPanel WHM cPanel WP Squared cPanel cPanel cPanel cPanel/WHM Versie(s) : Platform(s) : Beschrijving cPanel heeft een kwetsbaarheid verholpen in cPanel en WHM producten, inclusief versies na 11.40 en vóór de specifieke gepatchte releases. De kwetsbaarheid betreft een authenticatieomzeiling die ontstaat door CRLF-injectie in sessiebestanden, waardoor aanvallers sessies kunnen vervalsen. Daarnaast is de loginflow zelf kwetsbaar, waardoor niet- geauthenticeerde externe aanvallers de authenticatiemechanismen kunnen omzeilen. Hierdoor kan ongeautoriseerde toegang tot het WHM control panel met rootrechten worden verkregen. Mogelijke oplossingen cPanel heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://support.cpanel.net/hc/en- us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmnzDDAACgkQgupWoL0Z hGEI0wv9Eiy924I0ftk8v9cpjhHMKShqD2eZJ1fGEiysChBgq3m5/5d/vsYKsM54 Fee+0Vq76LnEihWriZwvaUcY66/IAxarU/9y5o8bCuR8+7TRC06bCsgY8g9vxTML eepK7BG6+c/IsdHVDEE8RMnIxXNzjLfjRRTlWA45SizjTgyv+cdAxu/LgriKEtoX 2mCmA/rGQTloQmYdYq6G7ZIBwRhejl6NZpEw1kTSNk1Vbgz2soOaMUTJkvRK8EVR a8J+zQCQcOL8XIbyZjrw8789eTjnH8P36rDd0WqlbGBSTgJRlqWhAdknqCwPe/xd 6fK9/OnU9qO0Q9ReXqsBEJOJ94bFZwat28X9YaCLQKCASMyJykWEOeJkgpiA/w3U BPsu3eHtKZaYQ8ltwKZerIVHHHgd36RKrq0/+WgqtAbteYweUc2XVYxjSG+TNAHx Xnq++FHGpZj0+WdMninvKozkTSIixiSDOYJYAdJDBq94t94iELAvYYzg2PtWghvZ mykqwHjR =oqyk -----END PGP SIGNATURE-----