Une vulnérabilité critique dans cPanel & WHM, identifiée CVE-2026-41940 et notée 9,8 sur l’échelle CVSS, est activement exploitée pour compromettre des infrastructures gouvernementales et militaires en Asie du Sud-Est. La faille, qui permet à un attaquant non authentifié d’obtenir un accès administrateur de niveau root, était déjà dans la nature deux mois avant que des correctifs ne soient disponibles.
Une injection CRLF qui court-circuite toute l’authentification
Techniquement, CVE-2026-41940 repose sur une injection CRLF (Carriage Return Line Feed) dans le mécanisme de gestion des sessions de cPanel. Un attaquant distant peut injecter des données malveillantes dans un fichier de session côté serveur, ce qui lui confère des privilèges administratifs complets — sans jamais avoir à saisir d’identifiants valides. L’exploitation ne requiert ni compte existant ni interaction de l’utilisateur, ce qui classe la faille parmi les scénarios d’attaque les plus redoutés.
La société de cybersécurité Rapid7 a recensé environ 1,5 million d’instances cPanel exposées directement sur Internet via le moteur de recherche Shodan. Depuis la publication du correctif le 28 avril, la Shadowserver Foundation a enregistré 44 000 adresses IP uniques scannant ou exploitant activement la vulnérabilité. watchTowr Labs a publié un exploit de démonstration (PoC) accessible publiquement, accélérant mécaniquement la fenêtre d’exploitation.
Deux mois de zero-day : une chronologie critique
La faille n’était pas inconnue des attaquants bien avant sa divulgation officielle. Daniel Pearson, PDG de KnownHost, a indiqué sur Reddit avoir « constaté des tentatives d’exploitation dès le 23 février 2026 », soit plus de deux mois avant que cPanel ne publie ses correctifs d’urgence le 28 avril. Dans un avertissement adressé aux administrateurs système, il a exhorté les équipes à considérer leurs serveurs comme potentiellement déjà compromis plutôt que d’attendre une confirmation.
Le 1er mai, la CISA a officialisé la menace en ajoutant CVE-2026-41940 à son catalogue des vulnérabilités exploitées connues (KEV), confirmant des attaques actives à grande échelle. Face à l’urgence, Namecheap, HostGator et KnownHost ont temporairement bloqué l’accès aux interfaces cPanel le temps de déployer les patchs. L’agence nationale de cybersécurité canadienne a, de son côté, averti que l’exploitation sur les serveurs d’hébergement mutualisé était « très probable » et appelé à une action immédiate.
Des serveurs gouvernementaux en Asie du Sud-Est dans le viseur
CVE-2026-41940 s’inscrit dans une vague plus large d’opérations cybernétiques ciblant les États de la région. Une campagne distincte, révélée par Trend Micro, lie un groupe malveillant aligné sur la Chine — suivi sous le nom SHADOW-EARTH-053 — à l’exploitation d’anciennes vulnérabilités de Microsoft Exchange pour pénétrer des réseaux gouvernementaux et de défense au Pakistan, en Thaïlande, en Malaisie, en Inde, au Myanmar, au Sri Lanka et à Taïwan. Cette campagne serait active depuis au moins décembre 2024.
Check Point Research a également documenté l’Opération TrueChaos, dans laquelle un acteur suspecté d’être lié à Pékin a exploité une faille zero-day dans l’application de conférence TrueConf pour déployer des malwares au sein d’agences gouvernementales interconnectées d’un pays d’Asie du Sud-Est. La convergence de ces trois campagnes dessine un ciblage systémique des institutions régionales, combinant failles d’infrastructure web, outils collaboratifs et serveurs de messagerie d’entreprise.
Un impact qui déborde largement le secteur public
Les répercussions de CVE-2026-41940 ne se limitent pas aux cibles gouvernementales. Au moins un propriétaire de petite entreprise a signalé sur Reddit avoir reçu une demande de rançon de 7 000 dollars après la compromission de son environnement hébergé sur cPanel. Avec 1,5 million de serveurs potentiellement exposés, l’ensemble de l’écosystème d’hébergement web — agences digitales, éditeurs, PME — est concerné.
Les chercheurs en sécurité qualifient CVE-2026-41940 de l’une des vulnérabilités d’infrastructure web les plus critiques de mémoire récente. La disponibilité d’un PoC public, combinée à une fenêtre d’exposition de deux mois en mode zero-day, laisse supposer que le nombre réel de systèmes compromis dépasse largement les chiffres actuellement rapportés. Pour les administrateurs n’ayant pas encore appliqué les correctifs d’urgence de cPanel, la priorité est absolue.
