cPanel rappresenta da decenni un’interfaccia familiare che ha reso la gestione dei server accessibile anche a chi non mastica quotidianamente righe di comando. Il fatto però che l’agenzia governativa statunitense CISA abbia inserito una vulnerabilità critica di questa piattaforma nel proprio catalogo delle falle già sfruttate attivamente dai criminali informatici ha scosso non poco le fondamenta della fiducia digitale.

La vulnerabilità CVE-2026-41940 ha un punteggio di gravità CVSS pari a 9.8 su 10 e interessa sia le versioni recenti di cPanel e WebHost Manager, sia soluzioni derivate come WP Squared.

La gravità di questa situazione risiede nella capacità di un attaccante remoto di ottenere il controllo totale della macchina senza alcuna necessità di autenticazione preventiva. Ciò significa che chiunque sia in grado di sfruttare la vulnerabilità può leggere dati riservati, installare malware o cancellare interi database con la semplicità di un amministratore legittimo.

Alcuni fornitori di hosting particolarmente attenti, tra cui KnownHost, hanno rilevato tentativi di esecuzione di codice malevolo già a partire dal 23 febbraio 2026. Questo gap temporale tra l’inizio dello sfruttamento e il rilascio della patch ufficiale, avvenuto solo in aprile, delinea i contorni di uno scenario zero-day gestito con estrema aggressività. Daniel Pearson, amministratore delegato di KnownHost, ha rotto il silenzio raccomandando una prudenza estrema: chi non ha aggiornato immediatamente il proprio stack di gestione, deve purtroppo dare per scontato che il proprio server possa essere già stato compromesso, con backdoor silenti pronte a essere attivate in futuro.

La reazione del mercato dei provider è stata eterogenea, evidenziando le diverse filosofie di gestione del rischio. Da una parte abbiamo assistito a manovre drastiche come quella di Namecheap, che ha scelto di bloccare temporaneamente l’accesso alle interfacce cPanel e WHM per tutti i propri clienti fino a quando la patch non fosse stata implementata in sicurezza.

 

File crittografati dal ransomware SorryFonte: diozada sul forum di BleepingComputer

File crittografati dal ransomware Sorry
Fonte: diozada sul forum di BleepingComputer

Dall’altra parte, il vasto oceano di piccoli fornitori di hosting e di aziende che gestiscono server in proprio si trova ora in una posizione di estrema vulnerabilità, spesso legata a processi di aggiornamento manuali o a una scarsa consapevolezza della portata dell’incendio in corso.

I primi effetti sul campo non si sono fatti attendere e hanno assunto le sembianze del ransomware Sorry. Ci sono già testimonianze dirette di piccole attività che, pur operando su configurazioni standard di cPanel apparentemente sicure, si sono ritrovate con i sistemi crittografati e una richiesta di riscatto di 7000 dollari per riavere i propri dati.

Sebbene la cifra possa sembrare contenuta per una multinazionale, per una piccola impresa locale rappresenta un colpo durissimo, aggravato dal fatto che i fornitori di hosting, spesso sovraccarichi dalle richieste di assistenza, faticano a offrire un supporto tempestivo durante incidenti di tale portata.

La scala della minaccia è confermata dai dati forniti dalla società di sicurezza Rapid7. Attraverso l’uso di motori di ricerca per dispositivi connessi come Shodan, sono state individuate circa un milione e mezzo di istanze cPanel direttamente esposte su internet. Considerando che dietro ogni pannello di controllo possono nascondersi decine o centinaia di siti web diversi, l’effetto domino è potenzialmente devastante.

Il fatto poi che cPanel sia la spina dorsale di decine di milioni di portali web in tutto il mondo rende questa falla un problema di sicurezza nazionale per l’economia digitale. Per molte realtà B2B che si affidano a terzisti per la gestione dell’infrastruttura, il mantra della patch immediata si scontra con una realtà fatta di attese fiduciose e speranza, una strategia che raramente paga di fronte a una vulnerabilità di severità massima già trasformato in arma.