Update Sekarang! Celah cPanel Ini Bisa Bypass Login Server
- Rita Puspita Sari
- •
- 30 menit yang lalu
Ilustrasi Zero Day Attack
Sebuah kerentanan keamanan kritis yang terdaftar sebagai CVE-2026-41940 mengguncang ekosistem hosting global. Celah ini memungkinkan penyerang untuk melewati proses autentikasi pada platform populer cPanel & WHM, membuka peluang akses ilegal ke server tanpa perlu login. Dengan skor 9.8 dari 10 berdasarkan sistem penilaian CVSS, kerentanan ini masuk dalam kategori paling berbahaya dan mendesak untuk segera ditangani.
Ancaman Serius pada Infrastruktur Hosting
Vendor pengembang, cPanel mengonfirmasi bahwa hampir seluruh versi cPanel dan WHM yang masih didukung terdampak oleh celah ini. Versi yang rentan mencakup semua rilis setelah 11.40 hingga sebelum versi patch terbaru dirilis.
Beberapa versi yang terdampak antara lain:
- cPanel & WHM 11.86.0 sebelum 11.86.0.41
- cPanel & WHM 11.110.0 sebelum 11.110.0.97
- cPanel & WHM 11.118.0 sebelum 11.118.0.63
- cPanel & WHM 11.126.0 sebelum 11.126.0.54
- cPanel & WHM 11.130.0 sebelum 11.130.0.19
- cPanel & WHM 11.132.0 sebelum 11.132.0.29
- cPanel & WHM 11.134.0 sebelum 11.134.0.20
- cPanel & WHM 11.136.0 sebelum 11.136.0.5
- WP Squared sebelum 136.1.7
Pihak cPanel juga memberikan peringatan tegas: server yang menjalankan versi lama atau tidak lagi didukung kemungkinan besar juga rentan, sehingga pembaruan sistem menjadi langkah yang tidak bisa ditunda.
Minim Detail, Maksimal Risiko
Meski pihak cPanel tidak mempublikasikan detail teknis secara lengkap demi mencegah eksploitasi lebih luas, sejumlah perusahaan keamanan siber dan penyedia layanan hosting telah mengungkap sebagian mekanisme serangan.
Perusahaan domain dan hosting besar, Namecheap, menyebutkan bahwa celah ini berkaitan dengan manipulasi proses login yang memungkinkan penyerang mendapatkan akses tanpa kredensial sah.
Sebagai langkah darurat, Namecheap bahkan memblokir akses ke port penting seperti 2083 dan 2087—yang biasa digunakan untuk antarmuka cPanel dan WHM. Kebijakan ini bersifat sementara, tetapi menunjukkan tingkat keseriusan ancaman yang dihadapi.
Yang membuat situasi semakin mengkhawatirkan adalah laporan bahwa celah ini telah dieksploitasi secara aktif sebagai zero-day. Diskusi di komunitas keamanan, termasuk forum seperti Reddit, menunjukkan adanya aktivitas eksploitasi sebelum patch resmi dirilis.
CEO KnownHost, Daniel Pearson, mengungkapkan bahwa serangan kemungkinan sudah berlangsung selama lebih dari 30 hari. Artinya, ada potensi banyak server yang telah dikompromikan tanpa disadari pemiliknya.
Bagaimana Serangan Ini Bekerja?
Menurut analisis dari Rapid7, akar masalah terletak pada kelemahan dalam penanganan input pada proses autentikasi, khususnya melalui teknik injeksi CRLF (Carriage Return Line Feed).
Dalam skenario serangan:
- Sistem cPanel membuat file sesi baru sebelum autentikasi selesai
- Penyerang memanipulasi cookie sesi seperti
whostmgrsession - Karakter khusus
\r\ndisisipkan melalui header berbahaya - Data ditulis ke file tanpa validasi yang memadai
- Parameter tambahan seperti
user=rootdapat disisipkan - Saat sesi dimuat ulang, sistem menganggap penyerang sebagai administrator
Teknik ini memungkinkan pelaku melewati proses login sepenuhnya—sebuah skenario mimpi buruk dalam keamanan siber.
Dampak yang Sangat Luas
Menurut perusahaan keamanan Hadrian, dampak dari eksploitasi cPanel jauh lebih besar dibandingkan peretasan satu situs web. Jika penyerang berhasil mendapatkan akses ke WHM:
- Semua akun hosting pelanggan dapat diakses
- File dan database dapat dimodifikasi
- Backdoor dapat ditanamkan
- Malware bisa disebarkan ke seluruh server
- Kredensial pengguna dapat dicuri
- Infrastruktur pelanggan lain bisa ikut diserang
Dengan kata lain, satu celah dapat membuka akses ke ratusan bahkan ribuan situs sekaligus.
Perusahaan Eye Security memperkirakan terdapat lebih dari 2 juta instance cPanel yang terhubung ke internet. Jumlah ini menunjukkan betapa luasnya potensi dampak dari kerentanan ini.
Peneliti dari watchTowr Labs menemukan bahwa adanya inkonsistensi dalam alur autentikasi menjadi penyebab utama celah ini dapat dimanfaatkan.
CEO watchTowr, Benjamin Harris, bahkan menyebut kerentanan ini sebagai “bypass autentikasi tanpa login” pada sistem yang sangat luas digunakan di internet—sebuah kombinasi yang sangat berbahaya.
Respons Cepat Industri Hosting
Sejumlah penyedia hosting besar langsung mengambil langkah mitigasi untuk mencegah eksploitasi massal. Perusahaan seperti hosting.com, HostPapa, dan InMotion Hosting turut membatasi akses sementara ke layanan mereka. Langkah ini memang berdampak pada kenyamanan pengguna, namun dianggap perlu untuk melindungi data dan infrastruktur pelanggan.
Badan keamanan siber Amerika Serikat, Cybersecurity and Infrastructure Security Agency (CISA), telah memasukkan CVE-2026-41940 ke dalam daftar Known Exploited Vulnerabilities (KEV).
Keputusan ini berarti kerentanan tersebut terbukti telah dieksploitasi secara aktif dan dianggap sebagai ancaman prioritas tinggi. Instansi pemerintah federal bahkan diwajibkan untuk menerapkan patch sebelum 3 Mei 2026.
Langkah Mitigasi dan Rekomendasi
cPanel telah merilis pembaruan keamanan dan sangat menyarankan semua pengguna untuk segera melakukan update dengan perintah:
/scripts/upcp --force
Selain itu, administrator juga diminta untuk:
- Memverifikasi versi build cPanel
- Melakukan restart sistem setelah pembaruan
Sebagai langkah mitigasi sementara sebelum patch diterapkan:
- Blokir port 2083, 2087, 2095, dan 2096
- Atau hentikan layanan
cpsrvddancpdavd
Langkah-langkah ini dapat membantu mengurangi risiko eksploitasi hingga sistem benar-benar aman.
Ancaman Nyata yang Tidak Bisa Diabaikan
Kerentanan CVE-2026-41940 menjadi pengingat keras bahwa bahkan sistem yang paling banyak digunakan pun tidak luput dari celah keamanan. Dengan eksploitasi aktif, tingkat keparahan tinggi, dan potensi dampak yang sangat luas, situasi ini menuntut respons cepat dari seluruh pemilik server dan penyedia layanan hosting.
Dalam lanskap digital yang semakin kompleks, satu celah kecil dapat menjadi pintu masuk bagi serangan besar. Kasus ini kembali menjadi pengingat bahwa keamanan siber bukan lagi pilihan, melainkan kebutuhan mutlak.
