CISA

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has issued an urgent alert about a critical cPanel & WHM vulnerability that is being actively exploited to gain administrative access to web hosting systems. CISA added the flaw to its Known Exploited Vulnerabilities (KEV) catalog after observing threat actors using the bug in real-world attacks, raising the risk for hosting providers and site owners. Tracked as CVE-2026-41940, the authentication-bypass defect impacts WebPros cPanel & WHM (WebHost Manager) and WP2 (WordPress Squared), allowing unauthenticated attackers to potentially take control of affected panels. Understanding the Authentication Bypass Flaw CVE-2026-41940 is classified as “Missing Authentication for Critical Function” (CWE-306). In short, the flaw allows unauthenticated remote actors to circumvent the normal login checks in affected control panel software. The vulnerability resides in the login flow of WebPros cPanel & WHM (WebHost Manager) and WP2, meaning attackers can gain administrative access without valid credentials and without completing standard authentication steps. Because control panels provide centralized access to hosting and server configuration, successful exploitation effectively hands attackers the keys to hosted websites and backend servers. What attackers can do if they gain control Why hosting providers and site owners should care Control panels like cPanel & WHM are the administrative backbone for millions of websites and servers; a single exploited bug can affect large numbers of customers and escalate into widespread compromise across hosting infrastructure. Detection tips for administrators For technical details and proof-of-concept reporting, see the linked analysis. When publishing information about PoCs (for example, the referenced exploit write-ups), avoid disclosing step-by-step exploit code in public posts to reduce copycat attempts while still informing defenders about indicators to look for. Required Mitigations and Deadlines CISA has mandated immediate remediation for federal agencies and strongly urges private-sector hosting providers, site owners, and server administrators to take the same urgent steps to close this cPanel & WHM vulnerability. Priority actions for security teams and system administrators: Follow CISA guidance and applicable Binding Operational Directives (for example, BOD 22-01 where relevant) and consult vendor advisories for exact patch commands, file paths, and verification steps. Typical verification includes checking package/version strings, control-panel build numbers, or vendor-provided checksum files. … CISA Flags Critical cPanel & WHM Flaw in Active AttacksRead more