ثغرة حرجة في لوحة cPanel تُعرّض ملايين المواقع لاختراق شامل

اكتُشفت ثغرة أمنية حرجة CVE-2026-41940 في برنامج cPanel تتيح تجاوز المصادقة كلياً، واستُغلت منذ فبراير 2026 قبل كشفها، مما يهدد عشرات الملايين من المواقع حول العالم.

تحرير
ألمعي · هيئة التحرير
النشر
١ مايو ٢٠٢٦
المصدر
TechCrunch
القراءات
٢
الوقت
قراءة دقيقتين
لوحة تحكم cPanel - استضافة المواقع

حذّرت مزودات استضافة الويب الكبرى من ثغرة أمنية بالغة الخطورة في برنامج cPanel وأداة إدارته WebHost Manager، تُصنَّف بدرجة خطورة 9.8 من أصل 10 وفق معيار CVSS. وقد جرى منح الثغرة المُعرِّف الرسمي CVE-2026-41940، وأشارت التقارير إلى أنها كانت قيد الاستغلال الفعلي من قِبل قراصنة مجهولين منذ الثالث والعشرين من فبراير 2026، أي قبل نحو شهرين من إعلانها الرسمي في الثامن والعشرين من أبريل.

تمثل هذه الثغرة حالة نموذجية مما يُعرف بثغرة يوم الصفر؛ إذ تشير الشواهد إلى أن الجهات الخبيثة اكتشفت الخلل واستغلته سراً لوقت طويل قبل أن يبادر مطورو cPanel إلى إصدار التحديث الأمني اللازم لسده. ويُرجَّح أن عمليات الاستغلال بدأت قبل ذلك التاريخ أيضاً.

تقنياً، تتيح الثغرة تجاوز المصادقة عبر حقن تسلسل إرجاع السطر في عمليتي تسجيل الدخول وتحميل الجلسة. وبعبارة مبسطة: يستطيع المهاجم اختراق الخادم والحصول على صلاحيات المدير الكاملة دون الحاجة إلى أي اسم مستخدم أو كلمة سر، وهو أشبه بأن يكتشف أحدهم أن قفل باب مصطنع لا يُغلق حقاً.

يُقدَّر عدد المواقع التي تعتمد على cPanel بعشرات الملايين عالمياً، وتدير المنصة ما يقارب 70 مليون نطاق إلكتروني. وبمجرد إعلان الثغرة، أسرعت كبرى مزودات الاستضافة في العالم لاتخاذ إجراءات طارئة: حجبت شركة Namecheap وصول العملاء إلى لوحات cPanel الخاصة بهم مؤقتاً ريثما تكتمل عملية التحديث الأمني، فيما أعلنت HostGator عن إتمام عمليات الترقيع على أنظمتها مصنفةً الثغرة حرجة لتجاوزها عملية المصادقة.

أما شركة KnownHost لخدمات الاستضافة، فقد كشف رئيسها التنفيذي دانيال بيرسون أن ما يقارب 30 خادماً من خوادم الشركة تعرضت لمحاولات وصول غير مشروع تمتد على آلاف الأجهزة. وفي موقف لافت، منحت الهيئة الكندية للأمن السيبراني الثغرة تقييم احتمالية استغلال عالية جداً.

أصدر مطورو cPanel تحديثاً أمنياً طارئاً عالج الثغرة الرئيسية في برنامجي cPanel وWHM وكذلك في أداة WP Squared لإدارة ووردبريس. وتوصي خبراء الأمن بتطبيق هذا التحديث الأمني فوراً دون تأخير، إذ تُعدّ الأنظمة غير المحدَّثة معرضة لخطر اختراق كامل يتيح للمهاجمين السيطرة التامة على الخادم وجميع المواقع المستضافة عليه.

تجسّد هذه الحادثة أحد أخطر أنماط الثغرات الأمنية في عالم الاستضافة: ثغرة لا تستهدف موقعاً بعينه بل تطال المنصة الإدارية بأسرها. فبدلاً من اختراق موقع واحد، يمكن للمهاجم السيطرة على مئات المواقع المستضافة على الخادم ذاته بعملية واحدة.

ينبغي لمديري المواقع ومسؤولي تقنية المعلومات التحقق فوراً من إصدار cPanel المستخدم والتأكد من تطبيق آخر التحديثات الأمنية. كما يُنصح بمراجعة سجلات الوصول بأثر رجعي للكشف عن أي نشاط مشبوه قد يكون جرى قبل تطبيق التحديثات.

المصدر الأصلي
TechCrunch
قراءة المقال الأصلي ↗
قصة اليوم · كل صباح

أعجبك التقرير؟ استلم واحداً كل صباح.

قصةٌ تقنية واحدة تستحقّ وقتك، بالعربية. بلا إعلانات، بلا إزعاج.

بلا إعلانات · إلغاء الاشتراك بنقرة واحدة · بياناتك آمنة

اقرأ أيضًا

المزيد من أمن

مركبات Waymo ذاتية القيادة عالقة في شوارع سان فرانسيسكو خلال احتفالات الرابع من يوليو 2026

عمدة سان فرانسيسكو يطالب بتشديد قواعد سيارات الأجرة الذاتية بعد فوضى Waymo

طالب عمدة سان فرانسيسكو بفرض اشتراطات تشغيلية أصرم على شركات المركبات ذاتية القيادة إثر شلّ روبوتاكسي Waymo شوارع المدينة لساعات خلال احتفالات الرابع من يوليو.

TechCrunch
رمز أمان البيانات الصحية الرقمية وخصوصية تطبيقات الهاتف

تطبيق Stardust يُشارك بيانات الصحة الإنجابية سراً رغم ادعاءاته بالخصوصية

كشف بحث مؤسسة موزيلا أن تطبيق Stardust يُرسل بيانات صحية خاصة بالمستخدمات إلى شركة تحليلات خارجية، في تناقض صريح مع ادعاءاته بالخصوصية المطلقة.

TechCrunch
رمز مجموعة القرصنة Scattered Spider المتخصصة في هجمات الهندسة الاجتماعية

المملكة المتحدة تسجن قراصنة Scattered Spider خلّفوا خسائر 47 مليون دولار

أصدرت محاكم المملكة المتحدة أحكاماً بسجن شابَّين ثبت انتماؤهما لمجموعة القرصنة Scattered Spider، إثر اختراقهما أنظمة هيئة نقل لندن وتعطيل خدمات المترو لأسابيع عدة.

TechCrunch
منشأة إنتاج شركة Fairlife التابعة لكوكا كولا

هجوم فدية يُوقف إنتاج Fairlife الألبانية التابعة لكوكا كولا في أمريكا

كشفت شركة كوكا كولا في إفصاح رسمي لهيئة الأوراق المالية عن تعرّض فرعها الألباني Fairlife لهجوم برمجيات فدية أوقف عمليات الإنتاج بالكامل في الولايات المتحدة.

TechCrunch
واجهة منصة Google Vids مع ميزة الصورة الرمزية الذكية المولَّدة بالذكاء الاصطناعي

جوجل تُطلق صوراً رمزية ذكية تُتيح للمستخدمين التمثيل في مقاطع الفيديو

أضافت جوجل ميزة الصورة الرمزية المولَّدة بالذكاء الاصطناعي إلى منصة Google Vids، مما يُتيح للمستخدمين إنشاء نسخ رقمية منهم للظهور في محتوى مرئي احترافي دون تصوير فعلي.

TechCrunch
آبل في السوق الصينية

الصين تُجيز آبل إنتيليجنس بالشراكة مع نموذج قوِن الذكي من علي بابا

الذكاء الاصطناعي التوليدي من آبل يحصل على موافقة رقابية صينية للإطلاق في نظام iOS بالشراكة مع نموذج قوِن من علي بابا، بعد مفاوضات امتدت عاماً مع كبرى شركات الذكاء الاصطناعي في الصين.

TechCrunch