সিপ্যানেল এবং ওয়েবহোস্ট ম্যানেজার (ডব্লিউএইচএম) ড্যাশবোর্ডের সাম্প্রতিক সংস্করণগুলি ব্যতীত সমস্তকে প্রভাবিত করে এমন একটি গুরুতর দুর্বলতা প্রমাণীকরণ ছাড়াই নিয়ন্ত্রণ প্যানেলে অ্যাক্সেস পেতে ব্যবহার করা যেতে পারে৷
নিরাপত্তা সমস্যা, বর্তমানে CVE-2026-41940 হিসেবে চিহ্নিত এবং 9.8 এর তীব্রতা স্কোর সহ, একটি জরুরী আপডেটে সমাধান করা হয়েছে যাতে সফ্টওয়্যারটির প্যাচ করা সংস্করণ পুনরুদ্ধার করতে ম্যানুয়ালি একটি কমান্ড চালানোর প্রয়োজন হয়৷
WebPros ইন্টারন্যাশনালের মালিকানাধীন, WHM এবং cPanel হল সার্ভার এবং ওয়েবসাইট পরিচালনার জন্য Linux-ভিত্তিক ওয়েব হোস্টিং নিয়ন্ত্রণ প্যানেল। যখন WHM সার্ভার-স্তরের নিয়ন্ত্রণ প্রদান করে, তখন cPanel ওয়েবসাইট ব্যাকএন্ড, ওয়েবমেল এবং ডেটাবেসে প্রশাসক অ্যাক্সেস প্রদান করে।
উভয় পণ্যই সবচেয়ে ব্যাপকভাবে নিয়োজিত হোস্টিং কন্ট্রোল প্যানেলগুলির মধ্যে একটি, অনেক হোস্টিং প্রদানকারীর কাছে তাদের প্রমিত ইন্টারফেসের জন্য জনপ্রিয়, অ-প্রযুক্তিগত ব্যবহারকারীদের জন্য সহজে ব্যবহার করা এবং সাধারণ হোস্টিং স্ট্যাকের সাথে গভীর একীকরণ।
কোনো প্রযুক্তিগত বিবরণ সর্বজনীনভাবে প্রকাশ করা হয়নি, তবে সমস্যার তীব্রতা তাৎপর্যপূর্ণ বলে মনে হচ্ছে, কারণ প্যাচ উপলব্ধ না হওয়া পর্যন্ত গ্রাহকদের রক্ষা করার জন্য WHM এবং cPanel-এর জন্য ব্যবহৃত পোর্ট 2083 এবং 2087-এ Namecheap সাময়িকভাবে অ্যাক্সেস ব্লক করেছে।
"আমরা আপনাকে জানাতে দুঃখিত যে cPanel সফ্টওয়্যারে একটি গুরুতর নিরাপত্তা দুর্বলতা চিহ্নিত করা হয়েছে যা বর্তমানে সমস্ত সমর্থিত সংস্করণগুলিকে প্রভাবিত করে," নেমচিপ বলেছে৷
হোস্টিং প্রদানকারী বলেছেন যে দুর্বলতা "একটি প্রমাণীকরণ লগইন শোষণের সাথে সম্পর্কিত যা নিয়ন্ত্রণ প্যানেলে অননুমোদিত অ্যাক্সেসের অনুমতি দিতে পারে।"
Namecheap-এর বিজ্ঞপ্তির কয়েক ঘন্টা পরে, cPanel একটি নিরাপত্তা বুলেটিন প্রকাশ করেছে যাতে জানানো হয় যে নিরাপত্তা সমস্যাটি নিম্নলিখিত পণ্য সংস্করণগুলিতে সমাধান করা হয়েছে:
- 11.110.0.97
- 11.118.0.63
- 11.126.0.54
- 11.132.0.29
- 11.136.0.5
- 11.134.0.20
একটি নিরাপদ সংস্করণ ইনস্টল করার জন্য, বিক্রেতা সুপারিশ করেন যে প্রশাসকরা /scripts/upcp –force কমান্ডটি চালান, যা cPanel আপডেট প্রক্রিয়া চালায় এবং এটি কার্যকর করতে বাধ্য করে এমনকি যদি সিস্টেম মনে করে যে এটি ইতিমধ্যেই সর্বশেষ সংস্করণে চলছে৷
cPanel-এর অসমর্থিত সংস্করণ চালানো সার্ভার নিরাপত্তা আপডেটের জন্য অযোগ্য। এই ক্ষেত্রে, প্রশাসকদের যত তাড়াতাড়ি সম্ভব একটি সমর্থিত সংস্করণে আপগ্রেড করার পরামর্শ দেওয়া হয়৷
একজন আক্রমণকারী cPanel-এ অ্যাক্সেস লাভ করে হোস্টিং অ্যাকাউন্টে উপস্থিত সমস্ত কিছু নিয়ন্ত্রণ করতে পারে, ওয়েবসাইট এবং ডেটা থেকে ইমেল পর্যন্ত। তারা ব্যাকডোর বা ওয়েব শেল লাগানোর অ্যাক্সেস ব্যবহার করতে পারে, ব্যবহারকারীদের দূষিত স্থানে পুনঃনির্দেশ করতে পারে, সংবেদনশীল ফাইল চুরি করতে পারে, স্প্যাম বা ফিশিং ইমেল পাঠাতে পারে, অথবা কনফিগারেশন ফাইল থেকে পাসওয়ার্ড সংগ্রহ করতে পারে৷
WHM সম্পূর্ণ সার্ভার এবং এটি হোস্ট করা সমস্ত ওয়েবসাইটগুলিতে অ্যাক্সেস প্রদান করে। এর মানে হল যে একজন হুমকি অভিনেতা cPanel অ্যাকাউন্ট তৈরি এবং মুছে ফেলতে পারে, মেশিনে অবিরাম অ্যাক্সেস স্থাপন করতে পারে এবং বিভিন্ন দূষিত কার্যকলাপের জন্য এটি ব্যবহার করতে পারে (যেমন, প্রক্সি ট্র্যাফিক, স্প্যাম, ম্যালওয়্যার বিতরণ, বটনেট)।
প্রভাবিত ম্যানেজমেন্ট ইন্টারফেসগুলি ব্যবহার করে ওয়েবসাইট মালিকদের নিশ্চিত করা উচিত যে তারা একটি প্যাচ করা সংস্করণে আপডেট হয়েছে৷
আপডেট [29 এপ্রিল, 16:51 EST]: VulnCheck দ্বারা নির্ধারিত ট্র্যাকিং নম্বর যোগ করা হয়েছে।
মিথোস যা পাওয়া গেছে তার 99% এখনও আনপ্যাচ করা হয়নি।
AI চারটি শূন্য-দিনকে একটি শোষণে চেইন করেছে যা রেন্ডারার এবং OS স্যান্ডবক্স উভয়কেই বাইপাস করেছে। নতুন শোষণের একটি ঢেউ আসছে।
স্বায়ত্তশাসিত বৈধতা সম্মেলনে (মে 12 এবং 14), দেখুন কিভাবে স্বায়ত্তশাসিত, প্রসঙ্গ-সমৃদ্ধ বৈধতা শোষণযোগ্য জিনিস খুঁজে পায়, নিয়ন্ত্রণগুলিকে ধরে রাখে এবং প্রতিকারের লুপ বন্ধ করে।
আপনার জায়গা দাবি করুন
