ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ขอแจ้งเตือนหน่วยงานที่ใช้งาน cPanel และ WebHost Manager (WHM) ให้เร่งตรวจสอบและอัปเดตระบบโดยด่วน เนื่องจากพบช่องโหว่ร้ายแรง CVE-2026-41940 [1] ซึ่งเป็นช่องโหว่ประเภท Authentication Bypass มีค่าความรุนแรง CVSS 9.8 ส่งผลให้ผู้โจมตีที่ยังไม่ผ่านการยืนยันตัวตน อาจสามารถเข้าถึงระบบควบคุมของ cPanel/WHM ได้โดยไม่ได้รับอนุญาต
1. รายละเอียดช่องโหว่ [2]
ช่องโหว่ดังกล่าวกระทบกับ cPanel และ WHM ซึ่งเป็นซอฟต์แวร์บริหารจัดการเว็บโฮสติ้งและเซิร์ฟเวอร์ที่ใช้กันอย่างแพร่หลาย โดย cPanel ใช้สำหรับจัดการเว็บไซต์รายผู้ใช้งาน เช่น ไฟล์ ฐานข้อมูล และอีเมล ขณะที่ WHM ใช้สำหรับบริหารจัดการทั้งเซิร์ฟเวอร์ แบบหลายบัญชีผู้ใช้ในภาพรวม ทั้งนี้ ช่องโหว่เกี่ยวข้องกับกระบวนการ login และการจัดการ session ของระบบ ทำให้ผู้โจมตีสามารถอาศัยข้อผิดพลาดในการจัดการ session เพื่อข้ามการยืนยันตัวตน และเข้าถึงระบบบริหารจัดการได้โดยไม่ได้รับอนุญาต โดยจากข้อมูลทางเทคนิคพบว่าหากไม่มีการตรวจสอบและกรองข้อมูล session อย่างเหมาะสม อาจเปิดโอกาสให้ผู้โจมตีแทรกหรือปรับแต่งข้อมูลใน session จนนำไปสู่การยกระดับสิทธิ์ได้
รายการช่องโหว่ที่เกี่ยวข้อง มีดังนี้
CVE-2026-41940 (CVSS 3.1: 9.8 ) เป็นช่องโหว่ประเภท Authentication Bypass ใน cPanel และ WHM ส่งผลให้ผู้โจมตี ที่ยังไม่ผ่านการยืนยันตัวตน อาจสามารถเข้าถึง control panel หรือระบบบริหารจัดการได้โดยไม่ได้รับอนุญาต
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
พบช่องโหว่ด้านความมั่นคงปลอดภัยประเภทการข้ามการยืนยันตัวตน (Authentication Bypass) ในซอฟต์แวร์ cPanel (รวมถึง DNSOnly) ซึ่งส่งผลกระทบต่อทุกเวอร์ชันที่ใหม่กว่า 11.40
ทั้งนี้ ผู้พัฒนาได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชันต่อไปนี้
* 11.86.0.41
* 11.110.0.97
* 11.118.0.63
* 11.126.0.54
* 11.130.0.18
* 11.132.0.29
* 11.134.0.20
* 11.136.0.5
3. ผลกระทบที่อาจเกิดขึ้น
หากระบบได้รับผลกระทบและถูกโจมตีสำเร็จ ผู้โจมตีอาจสามารถเข้าถึงหน้าบริหารจัดการ cPanel/WHM ได้โดยไม่ได้รับอนุญาต เปลี่ยนแปลงไฟล์และฐานข้อมูลของเว็บไซต์ สร้างบัญชีหรือช่องทางลับสำหรับกลับเข้าระบบ ขโมยข้อมูลสำคัญ ติดตั้งมัลแวร์ หรือใช้เซิร์ฟเวอร์เป็นจุดต่อยอดการโจมตีไปยังระบบอื่น โดยเฉพาะกรณีที่ WHM มีสิทธิ์ระดับผู้ดูแลระบบของเซิร์ฟเวอร์ อาจส่งผลกระทบต่อหลายเว็บไซต์หรือหลายบัญชี hosting บนเครื่องเดียวกันได้
4. แนวทางการแก้ไขและป้องกัน [3]
4.1 อัปเดต cPanel/WHM เป็นเวอร์ชันที่ได้รับการแก้ไขแล้วโดยทันที
4.2 ตรวจสอบ build version หลังการอัปเดต และ restart service ที่เกี่ยวข้อง
4.3 หากยังไม่สามารถอัปเดตได้ ให้จำกัดการเข้าถึงพอร์ต 2083, 2087, 2095 และ 2096 จากภายนอกชั่วคราว
4.4 จำกัดการเข้าถึงหน้า cPanel/WHM เฉพาะ IP ที่จำเป็น หรือเข้าถึงผ่าน VPN
4.5 ตรวจสอบ log และ session ที่ผิดปกติ โดยเฉพาะสัญญาณที่เกี่ยวข้องกับ pre-authenticated session หรือ session ที่มีค่าไม่สอดคล้องกับการ login ปกติ
4.6 เปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบและบัญชีสำคัญ หากพบความผิดปกติหรือสงสัยว่าระบบอาจถูกเข้าถึง
ทั้งนี้ท่านตรวจสอบวิธีการแก้ไขได้ที่ https://dg.th/jev985ydz7
5. แนวทางการลดความเสี่ยงชั่วคราว
5.1 ตรวจสอบว่ามี cPanel/WHM ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตหรือไม่
5.2 ปิดหรือจำกัดพอร์ตบริหารจัดการที่ไม่จำเป็น เพื่อลด attack surface
5.3 ตรวจสอบว่าระบบอยู่ในเวอร์ชันที่ได้รับแพตช์แล้ว
5.4 เฝ้าระวังพฤติกรรมผิดปกติ เช่น การสร้างบัญชีใหม่ การแก้ไขไฟล์เว็บ การเปลี่ยนแปลง DNS/SSL หรือการเข้าถึง WHM โดยไม่ทราบที่มา
แหล่งอ้างอิง