Komunitas keamanan siber membunyikan alarm atas ditemukannya kerentanan serius dalam cPanel dan WebHost Manager (WHM), software manajemen server web yang digunakan oleh puluhan juta pemilik situs web di seluruh dunia. Banyak perusahaan hosting komersial sudah melakukan perbaikan untuk pelanggan mereka, namun pembuat cPanel mendesak pengguna untuk memastikan sistem mereka telah diperbarui karena bug ini mempengaruhi semua versi software yang didukung.
cPanel dan WHM adalah dua suite software yang digunakan untuk mengelola server web yang menampung situs internet, mengelola email, dan menangani konfigurasi penting serta basis data yang diperlukan untuk mempertahankan domain internet. Kedua suite ini memiliki akses mendalam ke server yang mereka kelola, sehingga memberikan potensi akses tak terbatas kepada hacker jahat terhadap data yang dikelola oleh software yang terpengaruh.
Kerentanan, yang secara resmi dilacak sebagai CVE-2026-41940, memungkinkan hacker untuk melewati layar login dari jarak jauh dan mendapatkan akses penuh ke panel administrasi software. Mengingat meluasnya penggunaan cPanel dan WHM di industri hosting web, para hacker berpotensi membahayakan sejumlah besar situs web yang belum melakukan pembaruan keamanan.
Agensi keamanan siber nasional Kanada dalam peringatannya menyatakan bahwa kerentanan ini dapat dieksploitasi untuk membahayakan situs web di server hosting bersama, seperti perusahaan hosting web besar. Badan tersebut menilai bahwa "eksploitasi sangat mungkin terjadi" dan memerlukan tindakan segera dari pelanggan cPanel atau penyedia hosting mereka untuk mencegah akses berbahaya.
Namecheap, perusahaan hosting web raksasa yang menggunakan cPanel untuk memungkinkan pelanggannya mengelola server web mereka, mengambil langkah dengan memblokir akses ke panel cPanel pelanggan setelah mengetahui celah keamanan ini. Tujuannya untuk mencegah eksploitasi dan memberikan waktu bagi perusahaan untuk menerapkan patch pada sistem pelanggannya.
HostGator juga menyatakan telah melakukan pembaruan pada sistemnya dan menganggap bug ini sebagai "exploit bypass autentikasi kritis".
Satu perusahaan hosting web menemukan bukti bahwa hacker telah menyalahgunakan kerentanan ini selama berbulan-bulan sebelum upaya tersebut ditemukan. CEO KnownHost, Daniel Pearson, mengatakan dalam postingan di Reddit bahwa perusahaannya telah melihat upaya eksploitasi sejak 23 Februari. Perusahaan juga sempat memblokir akses ke sistem pelanggan sebelum menerapkan patch.
Menurut Pearson, sekitar 30 server di KnownHost menunjukkan tanda-tanda upaya akses tidak sah dari ribuan komputer di jaringannya. Pearson menyamakan upaya ini sebagai percobaan dan belum melihat tanda-tanda kompromi aktif.
Selain itu, cPanel juga mengeluarkan perbaikan keamanan untuk WP Squared, sebuah alat serupa untuk mengelola situs web WordPress. Dengan banyaknya situs web yang bergantung pada platform ini di Indonesia dan global, pemilik situs sangat disarankan untuk segera memperbarui sistem mereka ke versi terbaru.