O cPanel publicou adesivos de segurança que resolvem uma vulnerabilidade em várias rotas de autenticação do painel de controle que, se for explorada, pode permitir a um atacante controlar o software de gestão de servidores. As versões corrigidas são 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.136.0.5 e 11.134.0.20, e a empresa adverte que todos os lançamentos atualmente suportados estavam em risco até que a atualização fosse aplicada.
cPanel, por enquanto, não divulgou detalhes técnicos do erro, uma prática que costuma ser reservada até que a maioria dos servidores tenha o adesivo para reduzir o risco de exploração em massa. Essa falta de informação técnica aumenta a urgência para os administradores: quando o vetor exato não é conhecido, a única mitigação confiável é atualizar quanto antes e limitar o acesso às interfaces de administração.
O provedor de hospedagem Namecheap confirmou que o problema está relacionado a um exploit de login que poderia permitir acessos não autorizados a cPanel e WHM, e como medida temporária bloqueou o tráfego aos portos TCP 2083 e 2087 (HTTPS para cPanel e WHM). Namecheap explicou ainda que aplicou a correção aos seus servidores Reseller e Stellar Business e está a instalar o adesivo no resto da sua infraestrutura; até que o adesivo esteja instalado, os bloqueios de porto podem restringir o acesso de clientes aos seus painéis de controle. Para mais informações sobre as práticas e documentação do cPanel, consulte a sua documentação oficial. https://docs.cpanel.net e para verificações ou comunicados do fornecedor, é conveniente rever a assistência de Namecheap em https://www.namecheap.com/support/knowledgebase/.
Qual é o risco real e porque deve importar: o cPanel é a interface de gestão para milhões de sites; um compromisso de autenticação pode ser traduzido em acesso a contas de hospedagem, modificações de DNS, injeção de malware em sites, roubo de certificados e credenciais, ou implantação de criptominers e backdoors que se propagam entre contas em servidores compartilhados. Para sites ou empresas que dependem de hospedagem compartilhada ou reseller, o risco é especialmente alto porque um servidor comprometido pode afetar vários clientes.
O que os administradores devem fazer imediatamente: primeiro, verificar a versão do cPanel/WHM que corre no servidor e aplicar o adesivo oficial o mais rapidamente possível; as versões seguras estão indicadas acima. Se o seu fornecedor ainda não tiver aplicado o adesivo e o permitir configurar, limite o acesso aos portos de administração (2082/2083/2086/2087) por firewall ou listas de permitidos, e considere bloqueá-los até que a correcção seja confirmada. Active ou verifique mecanismos de protecção adicionais como o cPHulk (protecção à força bruta) e autenticação de dois factores nas contas administrativas; o guia do cPanel sobre 2FA é útil como referência em https://docs.cpanel.net/knowledge-base/security/two-factor-authentication/. É recomendável também rotar credenciais administrativas e API keys, e forçar a mudança de palavras-passe se houver algum indício de acesso fora do comum.
Como detectar uma possível intrusão: verifique os logs de autenticação do sistema (por exemplo, /var/log/auth.log no Debian/Ubuntu ou /var/log/secure em CentOS/RHEL) e os registros de cPanel/WHM no servidor em busca de logins de IPs desconhecidos ou em horários atípicos. Verifique a criação recente de contas, alterações nos utilizadores e permissões, alterações nos arquivos críticos (como arquivos de configuração de sites ou crontabs), e processos persistentes invulgares. Se houver suspeita de compromisso, faça uma captura forense dos discos e memória antes de aplicar mudanças drásticas, e considere restaurar desde backups íntegros se a integridade estiver comprometida.
Comunicação e mitigação ao nível de fornecedor: os administradores de hospedagem devem informar rapidamente os seus clientes sobre as ações tomadas e, se aplicável, coordenar o bloqueio temporário dos portos de administração ou a manutenção programada para aplicar o adesivo. Fique atento a atualizações públicas de cPanel e à possível atribuição de um identificador CVE nos próximos dias, e monitorize listas de vulnerabilidades e boletins oficiais (por exemplo, em https://cve.mitre.org ou as páginas de segurança do cPanel).
Em resumo, atualizar o cPanel/WHM às versões corrigidas é a ação prioritária, seguida de restrições de acesso às interfaces administrativas, reforço de autenticação multifator, rotação de credenciais e análise forense de logs para detectar atividade anómala. A coordenação com o provedor de hospedagem e a transparência com os usuários completam uma resposta responsável frente a uma vulnerabilidade de autenticação que, por sua natureza, pode ter consequências de alto impacto em ambientes de hospedagem compartilhado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...