Des chercheurs en sécurité avertissent d'une faille critique affectant cPanel et son outil de gestion WebHost Manager (WHM), deux logiciels omniprésents dans l'industrie de l'hébergement web. Cette vulnérabilité, identifiée sous la référence CVE-2026-41940, permet à des attaquants de contourner l'écran de connexion et d'obtenir un accès administratif complet aux serveurs. Étant donné que ces suites logicielles gèrent non seulement les sites web, mais aussi les courriels et les configurations de base de données, une compromission pourrait offrir aux hackers un contrôle total sur les données sensibles de millions de propriétaires de sites dans le monde. Le fabricant de cPanel a exhorté les utilisateurs à appliquer les correctifs immédiatement, car la faille touche toutes les versions prises en charge. L'Agence nationale de cybersécurité du Canada a émis un avis indiquant que l'exploitation de cette faille est hautement probable et qu'elle menace particulièrement les serveurs d'hébergement partagé. Des mesures préventives ont été prises par plusieurs géants du secteur. L'hébergeur Namecheap a temporairement bloqué l'accès aux panneaux cPanel de ses clients pour prévenir toute attaque en attendant le déploiement des correctifs. De même, Hostgator a confirmé la mise à jour de ses systèmes et a qualifié l'incident d'exploitation critique de contournement d'authentification. Des preuves suggèrent que cette vulnérabilité est exploitée depuis bien plus longtemps que prévu. Daniel Pearson, directeur général de l'entreprise de services web KnownHost, a rapporté avoir détecté des tentatives d'exploitation remontant au 23 février dernier. Bien que l'entreprise ait observé des signes d'accès non autorisé sur une trentaine de serveurs parmi des milliers, Pearson précise n'avoir trouvé aucune preuve de compromission active à ce stade. L'entreprise a également mis en place des blocages temporaires et appliqué les correctifs de sécurité. En réponse à cette crise, cPanel a également déployé une mise à jour de sécurité pour WP Squared, un outil similaire dédié à la gestion des sites WordPress. Les analystes soulignent l'urgence de la situation compte tenu de la ubiquité de ces logiciels et de la facilité avec laquelle les pirates peuvent en profiter pour prendre le contrôle de vastes infrastructures. La communauté de l'hébergement est appelée à vérifier en permanence que ses systèmes sont à jour pour sécuriser les données de leurs utilisateurs.