Os investigadores de segurança estão a alertar para uma vulnerabilidade recentemente descoberta no software de gestão de servidores web amplamente utilizado, o cPanel e o WebHost Manager (WHM).
Trata-se de uma falha crítica de contorno da autenticação no cPanel/WHM, que está a ser ativamente explorada e permite que os atacantes obtenham acesso administrativo à interface sem credenciais, podendo assumir o controlo dos servidores e de todos os sites alojados.
A vulnerabilidade, identificada como CVE-2026-41940, foi adicionada ao catálogo de «Vulnerabilidades Exploradas» pela Agência de Cibersegurança e Segurança das Infraestruturas (CISA), o que significa que existem indícios de que está a ser utilizada em ataques reais.
Uma vez que o cPanel/WHM é utilizado por mais de um milhãode sites em todo o mundo, incluindo bancos e organizações de saúde, o impacto potencial é enorme. Em termos simples, esta falha de segurança pode funcionar como uma chave de acesso direto a uma grande parte da infraestrutura de alojamento web.
A cPanel lançou correções a 28 de abril de 2026 e instou todos os clientes e fornecedores de alojamento a atualizarem os seus sistemas. A empresa indicou que todas as versões suportadas posteriores à 11.40 estão afetadas, incluindo o DNSOnly e o WP Squared.
Os fornecedores de alojamento, incluindo a Namecheap, a HostGator e a KnownHost, bloquearam temporariamente o acesso às interfaces do cPanel durante a aplicação de correções, considerando esta falha como uma violação crítica do processo de autenticação e relatando tentativas de exploração que remontam ao final de fevereiro de 2026.
Como se manter seguro
Embora caiba às empresas de alojamento e aos proprietários dos sites aplicar as correções o mais rapidamente possível, existem formas de reduzir o risco caso um site que utilize seja comprometido.
Como sempre, limite os dados que partilha com os sites ao estritamente necessário. Os dados que não têm não podem ser roubados.
Ao fazer uma encomenda numa loja online, não assinale a opção para guardar os dados do seu cartão para compras futuras, pois estes ficarão armazenados no servidor.
Se houver a opção de finalizar a compra como convidado, utilize-a. Isso reduz a quantidade de dados pessoais associados a uma conta.
Não reutilize senhas. Quando um site é comprometido, o facto de utilizar as mesmas credenciais em vários locais transforma a situação num problema de apropriação de várias contas. Um gestor de senhas pode ajudá-lo a criar frases-passe complexas e únicas, e a memorizá-las por si.
Sempre que possível, pague com cartão de crédito. Em muitas regiões, isso oferece-lhe uma maior proteção contra fraudes.
Os seus dados provavelmente já estão à venda.
Quando um site em que confias é alvo de um ataque informático
Se acha que foiafetado por uma violação de dados, siga os seguintes passos:
- Verifique as orientações da empresa.Cada violação é diferente, portanto, verifique com a empresa para saber o que aconteceu e siga todas as orientações específicas que ela oferecer.
- Altere a sua palavra-passe. Pode tornar uma palavra-passe roubada inútil para os ladrões alterando-a. Escolha uma palavra-passe forte que não utilize para mais nada. Melhor ainda, deixe que um gestor de senhas escolha uma para si.
- Ativea autenticação de dois fatores (2FA).Se possível, use uma chave de hardware, laptop ou telefone compatível com FIDO2 como seu segundo fator. Algumas formas de 2FA podem ser alvo de phishing tão facilmente quanto uma palavra-passe, mas a 2FA que depende de um dispositivo FIDO2 não pode ser alvo de phishing.
- Cuidado com os impostores.Os ladrões podem entrar em contacto consigo fingindo ser a plataforma invadida. Verifique o site oficial para ver se está a entrar em contacto com as vítimas e verifique a identidade de qualquer pessoa que entre em contacto consigo usando um canal de comunicação diferente.
- Não tenha pressa. Os ataques de phishing fazem-se frequentemente passar por pessoas ou marcas que conhece e utilizam temas que requerem atenção urgente, como entregas não efectuadas, suspensões de contas e alertas de segurança.
- Considere não guardar os dados do seu cartão. É definitivamente mais conveniente permitir que os sites guardem os dados do seu cartão, mas isso aumenta o risco caso um retalhista sofra uma violação de segurança.
- Configureo monitoramento de identidade, que alerta seassuasinformações pessoaisforem encontradas sendo comercializadas ilegalmente online e ajuda na recuperação após o ocorrido.
O que os cibercriminosos sabem sobre si?
Use a verificação gratuita Digital Footprint Malwarebytes para ver se as suas informações pessoais foram expostas online.
