Falha crítica afetou praticamente todas as versões conhecidas do cPanel

O cPanel continua a ser uma das soluções mais utilizadas no mercado do alojamento web e, nos últimos dias, uma falha afetou praticamente todas as suas versões conhecidas. Para aplicar a correção, vários fornecedores de alojamento web, em Portugal e no estrangeiro, viram-se obrigados a restringir temporariamente o acesso ao painel.

No dia 28 de abril, o cPanel publicou uma atualização de emergência para corrigir uma vulnerabilidade crítica no seu painel de controlo.

Identificada como CVE-2026-41940, a falha permitia contornar o processo de autenticação e podia dar a um atacante acesso administrativo total ao servidor afetado.

Na prática, isto significava capacidade para atuar sobre uma série de elementos presentes na máquina comprometida:

• Contas de alojamento;
• Websites;
• Bases de dados;
• Serviços de e-mail;
• Configurações do sistema e restantes recursos.

A gravidade do problema levou vários fornecedores de alojamento a limitarem temporariamente o acesso ao cPanel, ao WHM, ao webmail e a outros serviços associados, enquanto a correção era distribuída e instalada.

Segundo diferentes fontes do setor, a vulnerabilidade já estaria a ser usada antes da divulgação pública do patch, o que colocou a indústria de hosting em alerta máximo.

Porque é que esta falha tem um impacto tão alto

O cPanel continua a ser uma das soluções mais utilizadas no mercado do alojamento web. Quando surge uma vulnerabilidade deste nível, o risco não fica circunscrito ao painel de administração, podendo comprometer o servidor e todos os serviços nele alojados.

Sendo o principal alvo o WHM, a componente de gestão administrativa da plataforma, a falha podia abrir caminho ao controlo completo da infraestrutura.

Em serviços de alojamento partilhados, servidores VPS e ambientes com múltiplos clientes, isto representa um risco transversal para vários projetos em simultâneo.

O que se sabe sobre a vulnerabilidade

A informação técnica conhecida aponta para uma falha no tratamento de sessões no serviço cpsrvd, responsável pela interface web do cPanel e do WHM.

De forma simplificada, a vulnerabilidade permitia manipular o carregamento e a gravação de sessões antes de a autenticação estar concluída. Isso podia levar o sistema a reconhecer uma sessão maliciosa como válida, atribuindo privilégios que não deviam existir.

Análises técnicas independentes apontam para uma combinação de injeção CRLF, manipulação de cookies de sessão e escrita indevida de dados em ficheiros de sessão, resultando na criação de sessões com permissões elevadas.

A cPanel disponibilizou correções para vários branches suportados. Entre as versões corrigidas estão:

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.134.0.20
• 11.136.0.5

A falha afetou praticamente todas as versões posteriores à série 11.40, incluindo muitas instalações antigas já fora de suporte.

O problema continua para quem opera infraestruturas antigas

Apesar da resposta rápida de muitos operadores, o incidente está longe de ficar encerrado, pois continuam a existir milhares de servidores com versões antigas do cPanel, instalações sem suporte ativo e infraestruturas que, em alguns casos, já nem conseguem ser atualizadas.

Em muitos ambientes, o problema não é apenas a existência da vulnerabilidade, mas o facto de a própria infraestrutura estar demasiado desatualizada para aceitar patches de segurança com normalidade.

Nesses cenários, a única solução real passa, muitas vezes, por migrar para plataformas mais recentes e suportadas.

Exemplo em Portugal: como reagiu a Site.pt

Ao Pplware, o diretor-executivo da Site.pt, empresa portuguesa com cerca de 20 anos de atividade na área do alojamento web, explicou o impacto deste incidente e descortinou como o setor reagiu em Portugal.

Nas palavras de Ivan Almeida, a empresa tomou conhecimento do problema assim que foi emitida a comunicação oficial da cPanel.

Cerca de cinco minutos depois desse alerta, começou a aplicar medidas de mitigação para reduzir a possibilidade de exploração da vulnerabilidade.

A nossa primeira ação foi restringir temporariamente o acesso ao cPanel, ao WHM, ao webmail e a outros pontos de entrada associados à plataforma. O objetivo foi reduzir a superfície de ataque durante a janela crítica entre o alerta do fabricante e a disponibilização da correção.

Contou o diretor-executivo da Site.pt, explicando que a empresa mobilizou "de imediato" a sua equipa de administração de sistemas e infraestrutura, que manteve acompanhamento permanente até à conclusão de todo o processo.

Nas suas palavras, "a nossa prioridade foi avaliar o risco, aplicar medidas de contenção e preparar a atualização dos servidores dedicados dos nossos clientes".

Sobre o tempo que demorou a aplicar a correção, Ivan Almeida partilhou que a empresa iniciou "a instalação do patch assim que a atualização foi disponibilizada pela cPanel".

Tendo em conta a dimensão da nossa infraestrutura, a aplicação foi feita de forma faseada nos vários servidores e ficou concluída em cerca de uma hora.

À medida que cada sistema era atualizado e validado, fomos a repor os acessos anteriormente restringidos, garantindo que o regresso à normalidade só acontecia depois de deixar de existir risco.

Depois da atualização, a Site.pt avançou "para uma validação alargada da infraestrutura", realizando controlos adicionais para confirmar que não tinham existido "acessos indevidos, atividade anómala ou qualquer sinal de exploração associada a esta vulnerabilidade".

Essas verificações incluíram análise de logs, revisão de eventos de autenticação, validação de sessões administrativas e confirmação do estado final dos sistemas.

Revelou Ivan Almeida, dizendo que "embora este tipo de monitorização já faça parte da nossa operação contínua, 24 horas por dia, ao longo de todo o ano, neste caso executámos checks adicionais devido à criticidade do incidente".

Um alerta sério para o mercado de alojamento

Este caso volta a mostrar que nem todos os provedores de hosting estão igualmente preparados para responder com rapidez a uma falha crítica.

Providers como a Site.pt, mencionada neste artigo, que trabalham com plataformas atualizadas, sistemas suportados, monitorização permanente e equipas técnicas preparadas para intervenção imediata, conseguem reduzir a exposição ao risco e acelerar a reposição segura dos serviços.

Já em infraestruturas antigas, com sistemas operativos que deixaram de receber atualizações, software descontinuado ou versões que já nem aceitam correções de segurança críticas, o risco é muito maior. Nesses casos, a vulnerabilidade deixa de ser apenas um incidente técnico e passa a representar uma ameaça direta à continuidade dos serviços e à segurança dos negócios que dependem dessa infraestrutura.

A CVE-2026-41940 deixa assim um aviso claro para todo o setor: manter servidores e painéis atualizados não é apenas uma questão de manutenção técnica. É uma condição essencial para garantir continuidade operacional, proteção dos dados e segurança dos negócios num cenário em que falhas críticas podem ser exploradas em poucas horas.