Erros, Vazamentos de dados, Notícias

Falha no cPanel ativamente explorada expõe milhões de sites ao risco de invasão

por Pieter Arntz | 1º de maio de 2026
servidores comprometidos
Adicionar como fonte preferencial no Google

Pesquisadores de segurança estão alertando sobre uma vulnerabilidade recém-descoberta no cPanel e no WebHost Manager (WHM), softwares amplamente utilizados para gerenciamento de servidores web. 

Trata-se de uma falha crítica de contorno de autenticação no cPanel/WHM, que está sendo ativamente explorada e permite que invasores obtenham acesso administrativo à interface sem credenciais, podendo assumir o controle dos servidores e de todos os sites hospedados.

A vulnerabilidade, identificada como CVE-2026-41940, foi adicionada ao catálogo de Vulnerabilidades Exploradas pela Agência de Segurança Cibernética e de Infraestrutura (CISA), o que significa que há evidências de que ela está sendo usada em ataques reais.

Como o cPanel/WHM é utilizado por mais de um milhãode sites em todo o mundo, incluindo bancos e instituições de saúde, o impacto potencial é enorme. Em termos simples, a falha de segurança pode funcionar como uma chave de acesso direto a uma grande parte da infraestrutura de hospedagem da web.

O cPanel lançou correções em 28 de abril de 2026 e instou todos os clientes e provedores de hospedagem a atualizarem seus sistemas. Segundo o cPanel, todas as versões compatíveis posteriores à 11.40 estão afetadas, incluindo o DNSOnly e o WP Squared.

Provedores de hospedagem, incluindo Namecheap, HostGator e KnownHost, bloquearam temporariamente o acesso às interfaces do cPanel durante a aplicação de correções, considerando isso uma falha crítica de autenticação e relatando tentativas de exploração que remontam ao final de fevereiro de 2026.

Como se manter seguro

Embora caiba às empresas de hospedagem e aos proprietários de sites aplicar as correções o mais rápido possível, existem maneiras de reduzir o risco caso um site que você utilize seja comprometido.

Como sempre, limite os dados que você compartilha com sites ao estritamente necessário. Os dados que eles não têm não podem ser roubados.

Ao fazer um pedido em uma loja online, não marque a opção para salvar os dados do seu cartão para compras futuras, pois eles serão armazenados no servidor.

Se houver a opção de finalizar a compra como convidado, use-a. Isso reduz a quantidade de dados pessoais vinculados a uma conta.

Não reutilize senhas. Quando um site é invadido, usar as mesmas credenciais em vários lugares transforma isso em um problema de invasão de várias contas. Um gerenciador de senhas pode ajudá-lo a criar senhas complexas e exclusivas, além de memorizá-las para você.

Sempre que possível, pague com cartão de crédito. Em muitas regiões, isso oferece uma proteção mais eficaz contra fraudes.

Personal Data Remover

Seus dados estão sendo usados por cibercriminosos? 

Quando um site em que você confia é hackeado

Se você acredita ter sidoafetado por uma violação de dados, siga estas etapas:

  • Verifique as orientações da empresa.Cada violação é diferente, portanto, verifique com a empresa o que aconteceu e siga todas as orientações específicas fornecidas.
  • Altere sua senha. Você pode tornar uma senha roubada inútil para os ladrões alterando-a. Escolha uma senha forte que você não use para mais nada. Melhor ainda, deixe que um gerenciador de senhas escolha uma para você.
  • Habilitea autenticação de dois fatores (2FA).Se possível, use uma chave de hardware, laptop ou telefone compatível com FIDO2 como seu segundo fator. Algumas formas de 2FA podem ser phishadas com a mesma facilidade que uma senha, mas a 2FA que depende de um dispositivo FIDO2 não pode ser phishada.
  • Cuidado com os impostores.Os ladrões podem entrar em contato com você fingindo ser a plataforma invadida. Verifique o site oficial para ver se ele está entrando em contato com as vítimas e verifique a identidade de qualquer pessoa que entrar em contato com você usando um canal de comunicação diferente.
  • Não tenha pressa. Os ataques de phishing geralmente se fazem passar por pessoas ou marcas que você conhece e usam temas que exigem atenção urgente, como entregas perdidas, suspensões de contas e alertas de segurança.
  • Considere não armazenar os dados do seu cartão. É definitivamente mais conveniente permitir que os sites lembrem os dados do seu cartão, mas isso aumenta o risco caso um varejista sofra uma violação de segurança.
  • Configureo monitoramento de identidade, que o alerta se suasinformações pessoaisforem encontradas sendo comercializadas ilegalmente online e ajuda você a se recuperar depois.

O que os cibercriminosos sabem sobre você?

Use a verificação gratuita Digital Footprint Malwarebytes para verificar se suas informações pessoais foram expostas online.

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

IA
mensagens seguras e e-mails perdidos

IA: ameaça, ferramenta ou ambos?

Junho 5, 2026

A preocupação da população com a IA está aumentando. Analisamos o que está por trás disso e por que a segurança cibernética ocupa um lugar especial nesse debate.

Golpes
phishing em grande escala

Os programas de roubo de informações estão se tornando a carga útil preferida para ataques de phishing

Junho 3, 2026

Os cibercriminosos preferem os infostealers às técnicas tradicionais de phishing porque reduzem o atrito, são facilmente escaláveis e estão amplamente disponíveis.

Celular
Celular

Alerta falsos de vírus estão invadindo os jogos para celular

Junho 2, 2026

"Seu dispositivo está infectado!" Avisos falsos sobre contas e alertas de vírus estão transformando alguns anúncios dentro dos jogos em armadilhas de malware.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes