cPanel की एक लॉगिन ख़ामी ने 7 करोड़ वेबसाइटों के दरवाज़े हर किसी के लिए खोल दिए

cPanel और WHM में एक गंभीर ऑथेंटिकेशन-बायपास ख़ामी ने हमलावरों को इंटरनेट से जुड़े किसी भी कंट्रोल पैनल के मुख्य दरवाज़े से, बिना यूज़रनेम और बिना पासवर्ड, सीधे अंदर घुसने की छूट दे दी। यह ख़ामी CVE-2026-41940 के रूप में दर्ज है, इसका CVSS स्कोर 10 में से 9.8 है, और यह सॉफ़्टवेयर के हर समर्थित संस्करण को प्रभावित करती है — एक ऐसा सॉफ़्टवेयर जो दुनिया भर में लगभग 7 करोड़ डोमेन का प्रबंधन करता है। सुरक्षा शोधकर्ताओं की पुष्टि है कि आपातकालीन पैच जारी होते समय असली हमले पहले से चल रहे थे — कई होस्टिंग कंपनियों के लिए सवाल यह नहीं रहा कि क्या उनके सर्वर कमज़ोर थे, बल्कि यह कि अपडेट पहुँचने से पहले उनमें सेंध लग चुकी थी या नहीं।

ख़ामी cPanel की सेशन-लोडिंग और सेविंग लॉजिक में बैठी है, जिसकी आंतरिक ट्रैकिंग आईडी CPANEL-52908 है। व्यावहारिक रूप से, हमलावर एक ख़राब बने लॉगिन रिक्वेस्ट को भेज देता था और बदले में उसे एक ऐसे अकाउंट के मान्य सेशन-क्रेडेंशियल मिल जाते थे, जिसमें उसने कभी ऑथेंटिकेट तक नहीं किया था — सबसे बुरे मामलों में यह WHM की root-स्तर की पहुँच तक जाता था। WHM वही सर्वर-साइड डैशबोर्ड है जो होस्टिंग अकाउंट, ईमेल राउटिंग, SSL सर्टिफ़िकेट और डेटाबेस सेवाओं को नियंत्रित करता है। छह संस्करण-शाख़ाओं को आपातकालीन पैच चाहिए थे: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 और 11.136.0.5। जो सर्वर अब भी समर्थन-रहित cPanel संस्करण चला रहे हैं, उन्हें कोई पैच नहीं मिलेगा और उन्हें सक्रिय रूप से समझौता हो चुका मानकर ही चलाना चाहिए।

cPanel वही मानक कंट्रोल-पैनल परत है जो उपभोक्ता वेब के बड़े हिस्से को सहारा देने वाली शेयर्ड होस्टिंग बुनियाद का आधार है। किसी एक cPanel सर्वर में सफल सेंध हज़ारों डाउनस्ट्रीम साइटों तक फैल सकती है — उस मशीन पर मौजूद हर डोमेन, साथ ही उनकी ईमेल, उनके डेटाबेस और उनके ग्राहकों की फ़ाइलें भी। watchTowr Labs की शोध टीम ने प्रभावित सिस्टमों को इंटरनेट के एक बड़े हिस्से के “मैनेजमेंट प्लेन” के रूप में बताया, और एक होस्टिंग प्रदाता KnownHost ने पुष्टि की कि कोई सार्वजनिक चेतावनी जारी होने से पहले ही असली हमले हो रहे थे।

आपको यह भी पसंद आ सकता हैवह पहचान परत जो इंटरनेट के पास कभी नहीं थी, अब संश्लेषित दबाव में निर्मित हो रही है

प्लेटफ़ॉर्म पर सबसे बड़े रिसेलर होस्टिंग प्रदाताओं में से एक Namecheap ने एक असामान्य क़दम उठाया: पैच की तैनाती के दौरान अपने सभी ग्राहकों के लिए पोर्ट 2083 और 2087 — cPanel और WHM के वेब प्रवेश-पोर्ट — पर बाहरी पहुँच कुछ देर के लिए ब्लॉक कर दी। जब अपडेट कंपनी के Reseller और Stellar Business बेड़ों तक पहुँच गया, तब तक प्लेटफ़ॉर्म बाहरी दुनिया से देखने पर कई घंटों के लिए वस्तुतः बंद हो चुका था। दूसरे बड़े प्रदाताओं ने भी इसी तरह की सलाहें जारी कीं और ग्राहकों को कहा कि स्वचालित मेंटेनेंस विंडो का इंतज़ार किए बिना root के रूप में /scripts/upcp –force चलाकर अपडेट को ज़बरदस्ती लागू किया जाए।

ख़तरे की घंटी के साथ कुछ शर्तें भी जुड़ी हैं। ख़ुद cPanel ने इस ख़ामी पर गहरे तकनीकी विवरण जारी नहीं किए हैं — सार्वजनिक विश्लेषण का अधिकांश हिस्सा बाहरी शोधकर्ताओं द्वारा पैच की रिवर्स इंजीनियरिंग पर आधारित है, जिसका मतलब है कि असल में ख़ामी का इस्तेमाल करने की सही शर्तें अब भी कुछ हद तक पर्दे के पीछे हैं। “7 करोड़ डोमेन” का आँकड़ा cPanel की अपनी मार्केटिंग सामग्री में पुराने समय से चली आ रही अनुमानित संख्या है, और इसमें ऐसे शेयर्ड होस्टिंग अकाउंट भी शामिल हैं जहाँ एक ही पैनल सर्वर हज़ारों वेबसाइटों को संभालता है; असल में प्रभावित अद्वितीय सर्वरों की संख्या इससे काफ़ी कम है। और हालाँकि पैच से पहले हमले की पुष्टि हुई है, अब तक इस CVE से जुड़ी कोई बड़ी सार्वजनिक सेंध सामने नहीं आई है — आने वाले हफ़्तों में फ़ोरेंसिक जाँच के बंद होते-होते हालात बदल भी सकते हैं और नहीं भी।

यह घटना उस पैटर्न में बैठती है जिसकी ओर सुरक्षा शोधकर्ता वर्षों से इशारा कर रहे हैं: उपभोक्ता-होस्टिंग की मैनेजमेंट परत इंटरनेट के सबसे क़ीमती और सबसे कम निगरानी वाले लक्ष्यों में से एक है। एक ही कंट्रोल-पैनल कंपोनेंट में आई एक ख़ामी हमलावर को एक ही समय में हज़ारों कमज़ोर बचाव वाली छोटी कारोबारी और निजी साइटों की चाबियाँ सौंप देती है — किसी विदेशी या जटिल अटैक चेन की ज़रूरत के बिना। cPanel-वर्ग के सॉफ़्टवेयर में ऑथेंटिकेशन-बायपास बग्स काले बाज़ार में महंगे दामों पर बिकते हैं, और प्रकटीकरण से लेकर पैच के पूरी तरह फैलने तक की दूरी अप्रबंधित स्वतंत्र सर्वरों के लिए हफ़्तों में मापी जाती है — सार्वजनिक न्यूज़ साइकिल के अगले विषय पर चले जाने के बहुत बाद तक।

cPanel ने आपातकालीन पैच 28 अप्रैल को जारी किए, और Namecheap तथा अन्य बड़े प्रदाताओं ने 29 अप्रैल की सुबह तक अपनी तैनाती पूरी कर ली। cPanel या WHM सर्वर चलाने वाले एडमिनिस्ट्रेटरों को तुरंत यह पुष्टि कर लेनी चाहिए कि वे पैच लागू बिल्ड में से किसी एक पर हैं, और पैच से पहले के दिनों में जिस भी सर्वर ने इंटरनेट पर उजागर हालत में कोई कमज़ोर संस्करण चलाया, उसे संभवतः समझौता हो चुका मानकर ही चलाएँ। cPanel ने कोई सार्वजनिक पोस्ट-इंसिडेंट रिपोर्ट जारी करने का वादा नहीं किया है।

इस तरह की और सामग्री

वह भूत जो शासन करता है: जब स्वायत्त AI उन प्रणालियों को पीछे छोड़ देता है जो उसे नियंत्रित करने के लिए बनाई गई थीं

DeepSeek V4: GPT-5 से पाँच गुना सस्ता, Nvidia चिप के बिना चलता है

फ्रांस ने 25 लाख सरकारी कंप्यूटरों को Windows से Linux पर शिफ्ट करने का आदेश दिया

चीन ने दुनिया का पहला व्यावसायिक ब्रेन इम्प्लांट मंजूर किया, Neuralink को पीछे छोड़ा

डेस्टिनी 2 (Destiny 2) ने ‘रेनिगेड्स’ विस्तार में लुकासफिल्म गेम्स के साथ सहयोग का खुलासा किया

सिलिकॉन की जाँच: कृत्रिम बुद्धिमत्ता भौतिकी के प्रकाशित ज्ञान की सत्ता को कैसे चुनौती दे रही है