cPanel 漏洞仍在被利用：55 万台潜在风险服务器背后的主机安全债

一个高危漏洞公开快一周，攻击还在跑。这就是 cPanel/WHM 这次最刺眼的地方。

Shadowserver 到周一的统计显示，全球仍有超过 55 万台运行 cPanel 的服务器可能处在风险中。疑似已沦陷的 cPanel 实例约 2000 个；这个数曾在上周四一度到过约 4.4 万个，后来明显下降。但下降不等于结束。

更麻烦的一点来自 KnownHost CEO Daniel Pearson。他称，攻击迹象最早可追溯到 2 月 23 日。也就是说，利用活动可能早于公开披露。对站长来说，这意味着不能只问“今天补没补”，还要问“之前有没有被摸过”。

发生了什么：控制面板漏洞变成批量入口

这次漏洞编号是 CVE-2026-41940，影响 cPanel/WHM 及相关产品。cPanel/WHM 是很多共享主机、中小网站和托管服务背后的控制面板。

它不是一个普通后台。它常常连着文件、数据库、邮箱、域名、证书、备份和账号权限。攻击者一旦通过控制面板接管易受攻击服务器，能动的就不只是首页。

WebPros 称，cPanel/WHM 支撑 6000 万个域名。这个规模决定了它的风险半径。公司未回应媒体置评请求，所以目前不能替它补充原因、补丁覆盖率或客户损失。

CISA 把该漏洞加入 KEV，说明它已经是“已知被利用”的漏洞。这里也要说清边界：CISA 的修补期限针对美国政府机构，不是对全球所有网站下达强制命令。但对主机商和站长来说，这个信号已经够重。

谁受影响：站长要查资产，运维要查责任链

最该紧张的不是大厂官网，而是中小企业站、个人项目、老电商、地方机构页面、外包交付后没人再登录的网站。它们往往有域名信誉，有服务器权限，也有历史流量。缺的是日常维护。

中小网站站长和主机服务用户，动作要具体一点：

• 确认主机商是否已更新 cPanel/WHM；不要只看首页是否正常。
• 查控制面板登录记录、陌生账号、异常文件、计划任务和近期改动。
• 若发现异常，重置控制面板、数据库、FTP、邮箱等关键凭据。
• 有备份的，核对备份时间和完整性；不要把疑似被污染的备份直接恢复。

安全从业者、云厂商和主机运维人员要看的不是单个站点，而是批量面。哪些节点还暴露？哪些客户还在旧版本？哪些代理商或下游托管方没有回执？这些问题比“发一封提醒邮件”更硬。

这类事故最麻烦的地方在责任链。自管服务器，责任通常更清楚：谁运维，谁补丁，谁排查。共享主机和转售主机就麻烦得多。厂商、主机商、代理商、外包团队、站长之间隔了好几层。补丁在链条里每多转一次，就多一个没人拍板的空档。

我不太买账“用户自己注意安全”这类轻飘飘的说法。很多站长根本不知道自己的网站依赖 cPanel，也不知道控制面板版本在哪里看。把这种风险全推给末端用户，等于默认旧城墙没人守。

真问题：便宜主机把成本省下来了，攻击者把账收走了

软件有漏洞，这不稀奇。真正的问题是，控制面板在共享主机场景里拥有很高权限，却经常被当作低成本配套工具来管理。

这就是错位。cPanel 是中小网站的隐形根权限，却没有总被当成根权限对待。平时它安静地藏在主机套餐里；出事时，它变成攻击者的批量入口。

“天下熙熙，皆为利来。”便宜主机的商业逻辑很直白：压低服务成本，扩大托管规模。安全维护不便宜，也不会自动发生。省掉的巡检、补丁、告警和客户沟通，最后会以挂马、勒索页面、账号泄露和搜索信誉受损的形式回来。

这不是说便宜主机有原罪。约束是真实存在的。很多小网站付不起专职运维，也不可能为一个展示页配安全团队。主机商也面对成本压力，不可能给每个低价套餐做企业级响应。

但现实约束不能抹掉风险。低价可以，低价加无人负责就危险。攻击者最喜欢这种资产：权限够高，维护够少，规模够大。

接下来最该看三件事。

我更在意第三点。补丁本身是技术动作，责任闭合是组织能力。很多安全事故死在这里：不是没人知道有风险，而是每个人都只负责自己那一小段。

这次 cPanel/WHM 漏洞把一件老事又翻出来了。AI、云和自动化都在向前跑，但大量网站的运维方式还停在十年前。攻击者没有怀旧。他们只是很会利用别人留下的旧账。

开头那个问题，答案其实很冷：攻击还在继续，不是因为大家没听见警报，而是因为太多资产从一开始就没人真正看管。