Bug, violazioni dei dati, notizie

Un bug di cPanel attivamente sfruttato espone milioni di siti web al rischio di appropriazione indebita

di Pieter Arntz | 1 maggio 2026
server compromessi

I ricercatori nel campo della sicurezza mettono in guardia da una vulnerabilità appena scoperta nel software di gestione dei server web cPanel e WebHost Manager (WHM), ampiamente utilizzato. 

Si tratta di una vulnerabilità critica di cPanel/WHM, attualmente sfruttata attivamente, che consente agli aggressori di aggirare l'autenticazione e ottenere l'accesso amministrativo all'interfaccia senza credenziali, con la possibilità di assumere il controllo dei server e di tutti i siti ospitati.

La vulnerabilità, identificata con il codice CVE-2026-41940, è stata inserita nel catalogo delle vulnerabilità già sfruttate dall'Agenzia per la sicurezza informatica e delle infrastrutture (CISA), il che significa che esistono prove del suo utilizzo in attacchi reali.

Poiché cPanel/WHM è utilizzato da oltre un milionedi siti in tutto il mondo, tra cui banche e organizzazioni sanitarie, il potenziale impatto è enorme. In parole povere, il bug può fungere da chiave d’accesso a gran parte dell’infrastruttura di hosting del web.

Il 28 aprile 2026 cPanel ha rilasciato delle patch e ha esortato tutti i clienti e gli host ad effettuare l'aggiornamento. Ha precisato che sono interessate tutte le versioni supportate successive alla 11.40, comprese DNSOnly e WP Squared.

I provider di hosting, tra cui Namecheap, HostGator e KnownHost, hanno temporaneamente bloccato l'accesso alle interfacce cPanel durante l'applicazione delle patch, considerando la vulnerabilità come un bypass critico dell'autenticazione e segnalando tentativi di exploit risalenti alla fine di febbraio 2026.

Come stare al sicuro

Sebbene spetti alle società di hosting e ai proprietari dei siti web applicare le patch il più rapidamente possibile, esistono alcuni modi per ridurre il rischio nel caso in cui un sito che utilizzi venga compromesso.

Come sempre, limitatevi a fornire ai siti web solo i dati strettamente necessari. I dati che non possiedono non possono essere rubati.

Quando effettui un ordine presso un negozio online, non spuntare la casella che consente di salvare i dati della tua carta per acquisti futuri, poiché questi verranno memorizzati sul server.

Se c'è la possibilità di effettuare il checkout come ospite, approfittane. In questo modo riduci la quantità di dati personali associati a un account.

Non riutilizzare le password. Se un sito viene compromesso, l'uso delle stesse credenziali su più piattaforme può portare al controllo indebito di più account. Un gestore di password può aiutarti a creare password complesse e uniche e a ricordarle al posto tuo.

Se possibile, paga con carta di credito. In molte zone, questo ti garantisce una maggiore protezione contro le frodi.

Personal Data Remover

Probabilmente i tuoi dati sono già in vendita. 

Quando un sito di cui ti fidi viene hackerato

Se ritieni di essere statovittima di una violazione dei dati, segui questi passaggi:

  • Verificate le indicazioni fornite dall'azienda.Ogni violazione è diversa, quindi verificate con l'azienda cosa è successo e seguite le indicazioni specifiche fornite.
  • Cambiare la password. È possibile rendere inutile ai ladri una password rubata cambiandola. Scegliete una password forte che non utilizzate per nessun altro motivo. Meglio ancora, lasciate che un gestore di password ne scelga una per voi.
  • Abilital'autenticazione a due fattori (2FA).Se possibile, utilizza una chiave hardware, un laptop o un telefono conforme allo standard FIDO2 come secondo fattore. Alcune forme di 2FA possono essere oggetto di phishing con la stessa facilità delle password, ma la 2FA che si basa su un dispositivo FIDO2 non può essere oggetto di phishing.
  • Fai attenzione agli impostori.I ladri potrebbero contattarti fingendo di essere la piattaforma violata. Controlla il sito web ufficiale per verificare se sta contattando le vittime e verifica l'identità di chiunque ti contatti utilizzando un canale di comunicazione diverso.
  • Prendete tempo. Gli attacchi di phishing spesso impersonano persone o marchi conosciuti e utilizzano temi che richiedono un'attenzione urgente, come mancate consegne, sospensioni di account e avvisi di sicurezza.
  • Valuta la possibilità di non memorizzare i dati della tua carta. È sicuramente più comodo lasciare che i siti memorizzino i dati della tua carta, ma aumenta il rischio in caso di violazione da parte del rivenditore.
  • Impostail monitoraggio dell'identità, che ti avvisa seletueinformazioni personalivengono scambiate illegalmente online e ti aiuta a recuperarle in seguito.

Cosa sanno di te i criminali informatici?

Utilizza la scansione gratuita Digital Footprint Malwarebytes per verificare se le tue informazioni personali sono state divulgate online.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Insetti
Logo Microsoft

Patch Tuesday di maggio 2026: nessuna vulnerabilità zero-day, ma molte correzioni da applicare

Maggio 13, 2026

Il Patch Tuesday di maggio potrebbe non essere l'aggiornamento di grande portata che molti si aspettavano, ma contiene comunque numerose correzioni importanti che non andrebbero ignorate.

Notizie
Logo Claude

I risultati di ricerca falsi su Claude attirano Mac in un attacco ClickFix

Maggio 12, 2026

I ricercatori hanno scoperto una campagna ClickFix che utilizza false guide all'installazione di Claude per indurre Mac a infettarsi da soli.

Notizie
Un gruppo di giovani dall'aria felice

I dati rubati da Canvas sono stati "restituiti" in seguito a hacker , afferma Instructure

Maggio 12, 2026

Instructure afferma che i dati rubati da Canvas, che hanno interessato milioni di studenti e membri del personale, sono stati «restituiti». Ma non è così che funzionano le violazioni dei dati.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe