世界的に数百万のウェブサイトが使用する Web サーバー管理ソフトウェア「cPanel」と「WebHost Manager（WHM）」において、深刻な脆弱性が発見され、ハッカーによるサーバー乗っ取りが実際に発生していることがセキュリティ研究者によって警鐘が鳴らされました。この脆弱性、公式には CVE-2026-41940 と追跡されていますが、攻撃者はログイン画面をリモートでバイパスし、管理画面への完全なアクセス権を入手することが可能になります。cPanel はサーバー管理における深いアクセス権限を持つため、このバグを悪用されると、悪意のある攻撃者にデータへの制限なしのアクセスを許す危険性があり、世界中の何千万人ものウェブサイト所有者に影響を及ぼす恐れがあります。 カナダの国家サイバーセキュリティ機関は警告を発表し、共有ホスティングサーバー上のウェブサイトが侵害される可能性は非常に高いとし、顧客またはホスティング事業者による即時の対応が必要だと強調しました。大手ホスティング企業の Namecheap は脆弱性の発覚後、即時に顧客の cPanel へのアクセスをブロックし、パッチ適用までの時間を確保しました。また、Hostgator もシステムを修正済みとし、この問題を「重要な認証バイパスの悪用」として扱っています。 さらに、Web ホスティング企業 KnownHost のCEO、ダニエル・ピーターソン氏によると、同社は今年 2 月 23 日からこの脆弱性を悪用しようとする試行を観測しており、パッチ適用前に一時的にシステムへのアクセスを制限したことが明らかになりました。数千のコンピュータがあるネットワークの中で、約 30 サーバーに不正なアクセスの痕跡が見られましたが、現時点での実際の侵害確認には至っていません。cPanel 側は、WordPress サイト管理ツール「WP Squared」にも同様のセキュリティ修正を提供しています。既に多くの商用ホスティング会社が顧客システムの修正を終了しているものの、cPanel 開発元はすべてのサポート対象バージョンに影響が及ぶため、引き続き顧客自らにパッチ適用の確認を促しています。