ثغرة cPanel CVE-2026-41940: تجاوز المصادقة يهدد البنية التحتية لبنوك SAMA

كشف باحثو شركة watchTowr في 29 أبريل 2026 عن استغلال نشط لثغرة حرجة في cPanel وWHM تحمل المعرّف CVE-2026-41940 وبدرجة خطورة CVSS 9.8، تتيح للمهاجم تجاوز المصادقة كاملاً والسيطرة على الخادم بصلاحيات root دون أي اعتماد صالح. الأخطر أن الاستغلال في البرية مرصود منذ نحو 23 فبراير 2026 — أي قبل إصدار الترقيع بأكثر من شهرين كاملين.

التفاصيل التقنية لثغرة تجاوز المصادقة في cPanel

الثغرة من نوع CRLF Injection في عملية إنشاء الجلسات داخل خدمة cpsrvd. قبل اكتمال المصادقة، يقوم الخادم بكتابة ملف الجلسة على القرص بناءً على مدخلات المستخدم. عبر حقن أحرف \r\n خام في رأس Basic Authorization، يستطيع المهاجم إدخال خصائص اختيارية داخل ملف الجلسة، أبرزها user=root. كما يمكن التلاعب بكوكي whostmgrsession بحذف جزء متوقع من قيمته، مما يتيح تجاوز التشفير المطبّق على القيم المُدخلة من المهاجم.

سلسلة الاستغلال كاملة تتطلب عدداً قليلاً من طلبات HTTP فقط، وتمنح المهاجم وصولاً كاملاً إلى WHM API الذي يوفر بدوره تنفيذ أوامر بصلاحيات root عبر وظائف مشروعة في النظام. الثغرة تُؤثر على جميع إصدارات cPanel وWHM بعد الإصدار 11.40 وعلى الإصدار 136.1.7 من WP Squared، مع أكثر من 1.5 مليون خادم cPanel متصل بالإنترنت عالمياً وفق إحصاءات Picus Security.

سيناريوهات الهجوم المحتملة على البيئات المالية

cPanel ليس برنامجاً مصرفياً بطبيعته، لكنه شائع جداً في طبقة الاستضافة المساندة: المواقع التسويقية، البوابات الفرعية، أنظمة إدارة المحتوى لخدمات العملاء، وبيئات الاختبار التي يديرها مزودون خارجيون. هذه البيئات غالباً ما تكون متصلة بشبكات داخلية أو تحتوي على بيانات تنتمي للنطاق المنظَّم.

من خلال السيطرة على خادم cPanel واحد، يستطيع المهاجم زرع backdoor دائم، استخراج قواعد بيانات WordPress أو Joomla تحتوي على بيانات اتصال العملاء (PII)، ثم استخدام الخادم كنقطة انطلاق لهجمات Lateral Movement عبر الـ VPN أو شبكات الإدارة. عند ربط ذلك بثغرات تصعيد الصلاحيات الأخيرة مثل Copy Fail (CVE-2026-31431) في نواة Linux، تصبح المسافة بين خادم تسويقي مكشوف وبين البنية التحتية الحرجة قصيرة جداً.

التأثير على المؤسسات المالية السعودية

تفرض ضوابط البنك المركزي السعودي SAMA Cyber Security Framework متطلبات صارمة في المجالات 3.3.5 (Vulnerability Management) و3.3.10 (Third-Party Cybersecurity)، وتعتبر إدارة الترقيعات والمراقبة المستمرة لأصول الجهات الخارجية مسؤولية مشتركة لا يمكن تفويضها كلياً للمزوّد. كما يلزم إطار NCA ECC-2:2024 ضمن المكوّن 2-3 (Cybersecurity Resilience) بإجراء فحص دوري للأصول المعرّضة للإنترنت بما فيها تلك التي يديرها أطراف ثالثة.

وفقاً لنظام حماية البيانات الشخصية PDPL، فإن أي تسريب لبيانات عملاء عبر خادم cPanel غير مُحدَّث يقع تحت طائلة الإشعار الإلزامي للهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA) خلال 72 ساعة، مع غرامات قد تصل إلى 5 ملايين ريال للانتهاكات الجسيمة. غياب سجل ترقيع موثَّق يُصعّب موقف المؤسسة في أي تحقيق تنظيمي لاحق.

التوصيات والخطوات العملية للاستجابة الفورية

1. الترقيع الفوري إلى الإصدارات 11.110.0.69، 11.118.0.45، 11.124.0.49، أو 11.134.0.10 وما بعدها وفق نشرة cPanel الرسمية، مع إعطاء أولوية قصوى لأي خادم يقدم خدمات للعملاء أو مرتبط بأنظمة Core.
2. تنفيذ Threat Hunting بأثر رجعي لمدة 90 يوماً على الأقل في سجلات الوصول، بحثاً عن طلبات تحتوي على أحرف CRLF غير اعتيادية في رؤوس Authorization، أو إنشاء جلسات WHM دون عمليات تسجيل دخول مسبقة.
3. عزل خوادم cPanel خلف WAF مثل Cloudflare أو F5 ASM مع قواعد صريحة لحجب CRLF Injection، وتفعيل MFA على جميع حسابات WHM الإدارية.
4. مراجعة عقود مزوّدي الاستضافة وفق متطلبات SAMA 3.3.10 للتأكد من وجود التزام تعاقدي بالترقيع خلال 72 ساعة من إصدار patches الحرجة، مع حق التدقيق المستقل.
5. دمج CVE-2026-41940 ضمن مصفوفة المخاطر الفصلية المُقدَّمة لـ Board Risk Committee، وتحديث Vendor Risk Register بالأصول المتأثرة.
6. إجراء PenTest خارجي مستهدف لجميع نطاقات subdomains التي تستخدم cPanel أو WHM، باستخدام Nuclei templates المُحدَّثة لاكتشاف الثغرة.

الخلاصة

ثغرة CVE-2026-41940 ليست مجرد bug في برنامج استضافة شائع، بل هي اختبار حقيقي لنضج برامج Vendor Risk Management وVulnerability Management في المؤسسات المالية السعودية. حقيقة أن الاستغلال سبق الترقيع بشهرين تعني أن من اعتمد فقط على دورة الترقيع التقليدية كان مكشوفاً طوال هذه المدة. الحل لا يكون بالترقيع وحده، بل بمنظومة متكاملة من المراقبة المستمرة والاختبار الهجومي المستمر.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتحليل تعرّضك لثغرات الجهات الخارجية.