Kritičan propust u cPanel/WHM sistemu: zašto vlasnici sajtova i hosting administratori moraju odmah da reaguju

cPanel i WHM su među najčešće korišćenim alatima za upravljanje web hostingom. Kroz njih se upravlja domenima, bazama podataka, email nalozima, fajlovima, DNS podešavanjima, SSL sertifikatima i korisničkim hosting nalozima. Zbog toga svaki ozbiljan bezbednosni propust u cPanel/WHM sistemu može imati posledice koje se ne odnose samo na jedan web sajt, već potencijalno na veliki broj sajtova i korisničkih naloga na istom serveru.

Krajem aprila 2026. godine objavljena je informacija o kritičnoj ranjivosti označenoj kao CVE-2026-41940. Ova ranjivost se odnosi na authentication bypass, odnosno mogućnost zaobilaženja procesa prijave u cPanel/WHM sistem. Prema dostupnim bezbednosnim izveštajima, napadači su već aktivno pokušavali da iskoriste ovaj propust, što znači da problem nije samo teorijski, već predstavlja realan rizik za nezaštićene servere.

Drugim rečima, ukoliko server koristi ranjivu verziju cPanel/WHM softvera, napadač bi potencijalno mogao da dođe do kontrolnog panela bez validnog korisničkog imena i lozinke. To je posebno opasno kod WHM-a, jer WHM ima administratorski nivo kontrole nad serverom i hosting nalozima.

Zašto je ova ranjivost ozbiljna

Kod običnih propusta u pluginovima, PHP aplikacijama ili pojedinačnim CMS sistemima, najčešće je direktno ugrožen jedan sajt. Kod ranjivosti na nivou cPanel/WHM sistema, rizik je mnogo širi.

Ako je kompromitovan hosting panel, napadač može potencijalno doći do:

fajlova web sajtova,

baza podataka,

email naloga,

FTP/SFTP pristupa,

DNS podešavanja,

SSL i domen konfiguracije,

backup fajlova,

drugih korisničkih naloga na istom serveru.

Ovo je naročito važno za shared hosting okruženja, gde se na jednom serveru često nalazi veliki broj web sajtova različitih korisnika. Ako se problem ne reši na nivou servera, pojedinačni vlasnici sajtova mogu biti ugroženi čak i ako su njihovi pluginovi, teme i lozinke uredno održavani.

Šta je CVE-2026-41940?

CVE-2026-41940 je kritična ranjivost u cPanel/WHM softveru koja omogućava zaobilaženje autentifikacije u login procesu. NVD ovu ranjivost opisuje kao problem nedostajuće autentifikacije za kritičnu funkciju, dok zvanična cPanel objava navodi da su pogođene verzije posle 11.40.

Prema objavljenim informacijama, zakrpljene verzije uključuju:

11.110.0.97

11.118.0.63

11.126.0.54

11.132.0.29

11.134.0.20

11.136.0.5

Ako server koristi stariju ili ranjivu verziju u okviru pogođenih grana, potrebno je hitno izvršiti ažuriranje.

Zašto nije dovoljno proveriti samo otvorene portove

Kada se govori o cPanel/WHM bezbednosti, administratori često prvo proveravaju da li su otvoreni standardni portovi:

2082 — cPanel HTTP
2083 — cPanel HTTPS
2086 — WHM HTTP
2087 — WHM HTTPS

Međutim, tehnička analiza Searchlight Cyber-a ukazuje na važnu stvar: provera samo standardnih portova nije uvek dovoljna. cPanel/WHM može biti dostupan i preko proxy putanja, subdomena ili drugih pristupnih mehanizama, što znači da jednostavna provera otvorenih portova može dati lažan osećaj sigurnosti.

To znači da server može delovati kao da nije izložen, a da cPanel ili WHM interfejs ipak bude dostupan preko alternativne putanje. Zato ozbiljna bezbednosna provera mora uključiti ne samo portove, već i verziju softvera, konfiguraciju proxy pristupa, firewall pravila, logove i dodatne mehanizme zaštite.

Šta vlasnici sajtova treba odmah da urade

Ako imate web sajt na shared hostingu, najvažnije je da kontaktirate svog hosting provajdera i zatražite potvrdu da je cPanel/WHM ažuriran na bezbednu verziju.

Vlasnici sajtova najčešće nemaju pristup da sami ažuriraju cPanel, jer je to softver koji održava hosting kompanija. Međutim, imaju pravo da traže jasnu informaciju:

Da li je server ažuriran?

Koja verzija cPanel/WHM-a je trenutno aktivna?

Da li su provereni logovi pristupa?

Da li postoji sumnja na neovlašćen pristup?

Da li su primenjene dodatne WAF ili firewall mere?

Ako hosting ne može da pruži jasan odgovor, to je znak za dodatni oprez.

Šta administratori servera treba odmah da provere

Ako imate VPS, dedicated server ili cloud server sa cPanel/WHM instalacijom, potrebno je odmah proveriti verziju i izvršiti update.

Provera verzije cPanel/WHM-a:

/usr/local/cpanel/cpanel -V

Alternativna provera:

cat /usr/local/cpanel/version

Pokretanje prinudnog update-a:

/scripts/upcp --force

Nakon update-a ponovo proveriti verziju:

/usr/local/cpanel/cpanel -V

Po potrebi restartovati cPanel servis:

/scripts/restartsrv_cpsrvd

Ove komande nisu exploit kod i ne služe za napad, već za osnovnu administratorsku proveru i sanaciju servera.

Provera otvorenih cPanel/WHM portova

Na serveru možete proveriti da li su cPanel/WHM portovi aktivni:

ss -tulpn | grep -E '2082|2083|2086|2087'

Ako ss nije dostupan, može se koristiti:

netstat -tulpn | grep -E '2082|2083|2086|2087'

Međutim, ova provera ne sme biti jedina mera. Kao što je navedeno u tehničkim analizama, cPanel/WHM može biti dostupan i kroz proxy mehanizme, pa zatvoreni standardni portovi ne znače automatski da panel nije izložen internetu.

Ograničavanje pristupa WHM/cPanel panelu

Jedna od najboljih bezbednosnih praksi je da WHM i cPanel ne budu dostupni celom internetu, već samo poznatim administratorskim IP adresama ili VPN mreži.

Ako koristite CSF firewall, administratorsku IP adresu možete dozvoliti komandom:

csf -a 123.123.123.123 "Admin IP za WHM/cPanel"

Zatim otvorite CSF konfiguraciju:

nano /etc/csf/csf.conf

Pronađite liniju TCP_IN i uklonite portove koje ne želite javno dostupne:

2082,2083,2086,2087

Nakon izmene restartujte CSF:

csf -r

Ovo ne zamenjuje update, ali značajno smanjuje površinu napada.

Provera logova pristupa

Nakon ovakvog incidenta nije dovoljno samo ažurirati server. Potrebno je proveriti da li je bilo sumnjivih pokušaja pristupa.

Najvažniji cPanel logovi se najčešće nalaze na sledećim lokacijama:

/usr/local/cpanel/logs/access_log
/usr/local/cpanel/logs/login_log
/usr/local/cpanel/logs/error_log

Pregled poslednjih login pokušaja:

tail -n 100 /usr/local/cpanel/logs/login_log

Pretraga neuspešnih login pokušaja:

grep -i "failed" /usr/local/cpanel/logs/login_log | tail -n 50

Pretraga pristupa WHM-u:

grep -i "whostmgr" /usr/local/cpanel/logs/access_log | tail -n 50

Pretraga pristupa cPanel-u:

grep -i "cpanel" /usr/local/cpanel/logs/access_log | tail -n 50

Izdvajanje IP adresa koje se najčešće pojavljuju u access logu:

awk '{print $1}' /usr/local/cpanel/logs/access_log | sort | uniq -c | sort -nr | head -20

Ako se pojave nepoznate IP adrese sa velikim brojem zahteva, neuobičajeni pristupi ili aktivnosti u vreme kada administrator nije radio na serveru, potrebno je uraditi detaljniju bezbednosnu analizu.

Provera potencijalno kompromitovanih fajlova

Ako postoji sumnja da je server bio ranjiv pre ažuriranja, treba proveriti i fajlove korisničkih naloga.

Pretraga PHP fajlova menjanih u poslednjih 7 dana:

find /home -type f -name "*.php" -mtime -7 -print

Pretraga PHP fajlova menjanih u poslednjih 30 dana:

find /home -type f -name "*.php" -mtime -30 -print

Ova komanda ne znači da je svaki prikazani fajl maliciozan. Ona samo pomaže administratoru da brzo pronađe fajlove koji su skoro dodati ili izmenjeni.

Dodatna pretraga potencijalno sumnjivih PHP funkcija:

grep -Ril "base64_decode\|eval\|gzinflate\|str_rot13" /home/*/public_html 2>/dev/null

Važno je naglasiti da ove funkcije mogu postojati i u legitimnom kodu, ali su česte i u malicioznim PHP skriptama. Zato rezultate treba ručno proveriti.

Provera .htaccess fajlova

Napadači često koriste .htaccess fajlove za preusmeravanja, skrivanje malicioznog koda ili manipulaciju saobraćajem.

Pretraga skoro menjanih .htaccess fajlova:

find /home -name ".htaccess" -mtime -30 -print

Ako se pronađu izmene koje nisu očekivane, potrebno je proveriti da li postoje čudna preusmeravanja, nepoznata pravila ili ubačeni kod koji nije deo regularne konfiguracije sajta.

Provera cron zadataka

Jedan od čestih načina održavanja pristupa kompromitovanom serveru jeste ubacivanje cron zadataka koji periodično pokreću maliciozne skripte.

Pregled sistemskog crona:

cat /etc/crontab
ls -la /etc/cron.*

Pregled cron zadataka svih korisnika:

for user in $(cut -f1 -d: /etc/passwd); do
  crontab -u "$user" -l 2>/dev/null
done

Ako pronađete nepoznate komande koje pozivaju sumnjive PHP fajlove, spoljne URL adrese ili skrivene direktorijume, potrebno ih je dodatno analizirati.

WAF zaštita kao dodatni sloj

Cloudflare je objavio hitno WAF pravilo za blokiranje pokušaja iskorišćavanja ranjivosti povezane sa CVE-2026-41940. To je korisna dodatna zaštita, posebno za servere koji stoje iza Cloudflare-a.

Međutim, WAF ne sme biti zamena za update. Najvažnija mera je i dalje ažuriranje cPanel/WHM softvera na zakrpljenu verziju. WAF, firewall pravila i ograničenje pristupa treba posmatrati kao dodatne slojeve zaštite.

Šta uraditi ako postoji sumnja na kompromitaciju

Ako server nije bio ažuriran, a bio je dostupan preko interneta, treba pretpostaviti da je rizik postojao i uraditi dodatne provere.

Preporučene mere su:

promeniti WHM root lozinku,

promeniti lozinke cPanel korisnika,

promeniti FTP/SFTP lozinke,

promeniti lozinke baza podataka ako postoji sumnja na pristup,

proveriti nove administratorske naloge u CMS sistemima,

proveriti korisnike, pluginove i teme,

proveriti cron zadatke,

proveriti .htaccess fajlove,

proveriti neuobičajene PHP fajlove,

pregledati logove pristupa,

proveriti da li server šalje spam emailove,

proveriti reputaciju IP adrese servera.

Ako se pronađu tragovi kompromitacije, preporučuje se vraćanje čistog backup-a, detaljno čišćenje fajlova i kompletna rotacija pristupnih podataka.

Znaci da je sajt možda kompromitovan

Vlasnici sajtova treba da obrate pažnju na sledeće simptome:

sajt se preusmerava na nepoznate domene,

Google prikazuje upozorenje da je sajt nebezbedan,

u Google Search Console-u se pojavljuju security upozorenja,

u fajlovima postoje nepoznate PHP skripte,

u -u postoje novi admin korisnici,

sajt šalje spam emailove,

hosting nalog troši neuobičajeno mnogo resursa,

pojavljuju se čudni fajlovi u public_html folderu,

menjani su .htaccess fajlovi bez znanja administratora,

email domen završava na blacklistama.

Ovi simptomi ne moraju uvek značiti da je problem nastao baš zbog ove ranjivosti, ali su jasan znak da je potrebna bezbednosna provera.

Zašto je redovno održavanje servera obavezno

Ovaj slučaj pokazuje da bezbednost web sajta ne zavisi samo od samog sajta. Možete imati ažuran , jake lozinke, SSL sertifikat i dobar hosting paket, a da i dalje budete izloženi ako je ranjiv softver na nivou servera.

Zato svaka ozbiljna web infrastruktura treba da ima:

redovno ažuriranje servera,

praćenje bezbednosnih obaveštenja,

backup politiku,

WAF zaštitu,

ograničen administratorski pristup,

monitoring logova,

periodične malware provere,

jasnu proceduru za hitne incidente.

Za firme koje koriste web prodavnice, CRM sisteme, portale, interne aplikacije ili sisteme koji obrađuju korisničke podatke, ovakva ranjivost nije samo tehnički problem. Ona može postati poslovni, pravni i reputacioni problem.

Kratak administratorski checklist

[ ] Proverena verzija cPanel/WHM softvera
[ ] Server ažuriran na zakrpljenu verziju
[ ] Provereni cPanel/WHM access i login logovi
[ ] Ograničen pristup WHM/cPanel panelima
[ ] Provereni standardni portovi 2082, 2083, 2086 i 2087
[ ] Provereni proxy pristupi i subdomeni
[ ] Provereni novi i skoro menjani PHP fajlovi
[ ] Provereni .htaccess fajlovi
[ ] Provereni cron zadaci
[ ] Promenjene lozinke ako postoji sumnja na kompromitaciju
[ ] Uključen WAF ili dodatna firewall zaštita
[ ] Provereni /CMS korisnici i administratorski nalozi
[ ] Proverena reputacija email domena i IP adrese
Ranjivost CVE-2026-41940 predstavlja ozbiljan bezbednosni problem za servere koji koriste cPanel/WHM. Njena ozbiljnost nije samo u tome što pogađa popularan hosting softver, već u tome što se odnosi na zaobilaženje autentifikacije, što može omogućiti neovlašćen pristup kontrolnom panelu.

Za vlasnike sajtova najvažnije je da odmah provere sa hosting provajderom da li je server ažuriran. Za administratore servera obavezno je da provere verziju cPanel/WHM-a, pokrenu update, pregledaju logove i ograniče pristup administrativnim panelima.

Posebno je važno razumeti da jednostavna provera otvorenih portova nije dovoljna. cPanel/WHM može biti dostupan i preko drugih mehanizama, pa zaštita mora uključiti kompletnu proveru konfiguracije, logova, proxy pristupa i dodatnih bezbednosnih slojeva.

Kod ovakvih ranjivosti brzina reakcije je presudna. Ažuriranje, ograničavanje pristupa i provera tragova kompromitacije mogu napraviti razliku između preventivne mere i ozbiljnog bezbednosnog incidenta.

Podrška je dostupna 24/7 putem maila support@roster.rs
ili telefona 064 4788150 ponedeljak – petak od 8h do 16h.

O NAMA.

Korišćenjem modernih tehnologija, praćenjem aktuelnih standarda i trendova Roster soft se popeo u sam vrh agencija koje se bave informacionim tehnologijama.

Usluge.

Korisno.

© Sva prava zadržava Roster soft. PIB: 109578070 Matični broj: 64277880. D-U-N-S® broj: 680649429
Zabranjeno je svako kopiranje, preuzimanje i distribucija svih materijala koji se nalaze na sajtu bez izričite saglasnosti Autora.

Pristupačnost