Den orange cPanel-loggan som en upplyst skylt på byggnadsställning där en arbetare servar och lagar den i en mörk industrimiljö, en bild av att cPanel-säkerhetshålet åtgärdas
Nyheter
Fredrik Eriksson ·

Kritiskt cPanel-säkerhetshål 2026: vad CVE-2026-41940 betyder för dig med webbhotell

I slutet av april 2026 stod det klart att en av webbhostingvärldens mest spridda kontrollpaneler hade haft ett gapande hål i mer än två månader, utan att vare sig leverantören eller de flesta kunder visste om det. Hålet heter CVE-2026-41940, det fick CVSS-betyget 9,8 av 10 och det lät en angripare logga in som systemadministratör (root) helt utan lösenord. Patchen kom 28 april. Skadan hade redan skett för tusentals servrar världen över.

För dig som har ett vanligt delat webbhotell hos en etablerad leverantör är det lugnande beskedet att du sannolikt inte behövde göra ett enda handgrepp. Det var din värd som ansvarade för att laga hålet, och de flesta leverantörer patchade sina servrar inom timmar. Men historien är ändå värd att känna till, för den berättar något om hur webbhotellbranschen fungerar när det väl krisar.

Vad hände och hur allvarligt var det

Buggen satt i cpsrvd, den bakgrundstjänst som hanterar inloggning och sessioner i cPanel och dess administratörsgränssnitt WHM (Web Host Manager). Tekniken bakom kallas CRLF-injektion. CRLF är de osynliga radbrytnings- och returtecknen (\r\n) som används i HTTP-kommunikation. Genom att smuggla in sådana tecken i en inloggningsförfrågan kunde en angripare manipulera den sessionsfil som servern skapade och skriva in egna värden, till exempel "user=root". Servern läste sedan den manipulerade filen som om det vore en legitim session, och angriparen var inne som administratör.

Det krävdes inga giltiga inloggningsuppgifter. Inget lösenord. Ingen tvåfaktorsautentisering att kringgå. Det räckte med ett nätverksanrop mot rätt port.

Säkerhetsföretaget watchTowr Labs identifierade sårbarheten i april 2026 och meddelade WebPros/cPanel, som publicerade en nödpatch den 28 april. Det som inte var känt då, men som kom fram i efterhand, är att hålet hade utnyttjats aktivt i det dolda sedan åtminstone den 23 februari. Ungefär två månaders window of opportunity som angripare utnyttjat fullt ut.

Skalan: 1,5 miljoner exponerade installationer och 44 000 komprometterade servrar

Enligt Shodan-data som refererades av säkerhetsföretaget Rapid7 vid tidpunkten för publiceringen var ungefär 1,5 miljoner cPanel-installationer exponerade mot internet. Shadowserver Foundation spårade över 44 000 unika IP-adresser som antingen komprometterats eller aktivt scannades och utnyttjades inom kort efter att hålet blivit offentligt känt. Bland hoten fanns ransomware vid namn "Sorry" som spreds i massexploateringskampanjer.

Det är viktigt att betona att inga belagda kopplingar till specifikt svenska servrar har rapporterats. Globalaspekten är den som dominerar rapporteringen.

Tidslinje över cPanel-sårbarheten CVE-2026-41940: utnyttjad i det dolda från 23 februari, patch 28 april, CISA och CERT-SE varnar 30 april, tre fler nödpatchar 8 till 20 maj
Tidslinje: cPanel-hålet utnyttjades i det dolda i nästan två månader innan patchen kom.

Reaktionerna från myndigheter kom snabbt. Amerikanska CISA lade in CVE-2026-41940 i sin lista över aktivt utnyttjade sårbarheter den 30 april och gav federala myndigheter deadline 3 maj att patcha. Svenska CERT-SE gick ut med officiell varning i bulletin BM26-001 samma dag, 30 april, med rekommendationen att skyndsamt följa leverantörens råd och undersöka system efter intrångstecken.

Det som gör händelseförloppet exceptionellt är inte bara den ursprungliga buggen utan de efterföljande veckorna. cPanel släppte fyra akuta säkerhetsuppdateringar på 23 dagar. Den 28 april kom patchen för CVE-2026-41940. Den 8 maj åtgärdades tre nya sårbarheter. Den 13 maj kom ytterligare fem. Den 19 till 20 maj en till, delvis kopplad till ett aktivt utnyttjat hål i LiteSpeed-pluginen. Sju distinkta sårbarheter. Fyra nödpatchar.

Vad är cPanel och varför spelar detta roll för svenska kunder

cPanel är den vanligaste kontrollpanelen för webbhotell i världen. Den används av ett stort antal svenska leverantörer, och om du någonsin loggat in på ditt webbhotell och sett en vy med ikoner för e-postkonton, filhantering och databaser är chansen stor att du sett cPanel. WHM är adminsidan ovanpå, dit värdpersonalen och serveradministratörer loggar in för att hantera hela servern med alla kundkonton.

Det är just den distinktionen som är viktig här. De flesta kunder har tillgång till cPanel på kundnivå. Ingen vanlig kund har tillgång till WHM på adminnivå. Den här buggen satt på WHM-nivå, men konsekvensen av ett lyckat intrång påverkade hela servern och alla kundkonton på den. Se vilka svenska webbhotell som kör cPanel.

Transparensvinkeln: vad din värd berättar för dig spelar roll

Vi gick igenom svenska cPanel-värdars nyhets- och bloggsidor i efterhand för att se hur de kommunicerade med sina kunder om händelsen. Det är en liten men avslöjande sak att titta på.

Oderland sticker ut som ett positivt exempel. De publicerade fyra öppna säkerhetsnotiser mellan 29 april och 20 maj, en för varje ny patchomgång. I den första, daterad 29 april, bekräftade de att alla deras servrar patchades under natten mot onsdagen 28 till 29 april, att de genomfört loggranskning och att inga obehöriga åtkomster kunnat påvisas. Det är precis den typ av kommunikation som ger ett konto hos dem ett konkret meningsinnehåll.

Andra stora svenska cPanel-värdar som Inleed, Miss Hosting och Wopsa publicerade ingenting om händelsen i sina nyhetsflöden under samma period. Det är viktigt att understryka vad detta inte säger. Det säger ingenting om deras säkerhet. Patchning av cPanel är en standarduppgift för alla seriösa värdar, och de har med all säkerhet hanterat uppdateringen precis som alla andra. Det vi belyser är öppenheten mot kunden, alltså hur mycket din värd berättar för dig när något händer. Det är en aspekt du kan väga in i ditt val av leverantör.

Vem ansvarar för patchningen, och varför det beror på din hostingtyp

delat webbhotell och managed hosting är svaret enkelt. Det är värden som ansvarar för att servern är patchad, och du som kund har normalt sett ingen tillgång till WHM överhuvudtaget. Du kunde inte ha agerat på CVE-2026-41940 även om du hade velat. Det här är en av de undervärderade fördelarna med att köpa hosting som en tjänst.

På en egen eller unmanaged VPS med cPanel är det helt annorlunda. Där är det ditt ansvar att hålla cPanel uppdaterat. Det är fullt möjligt att en sådan server fortfarande kör en sårbar version av cPanel månader efter att patchen finns tillgänglig, om ingen håller koll på uppdateringar. Läs mer om skillnaden mellan managed och unmanaged VPS om du funderar på att ta det steget.

Vad du konkret kan göra och fråga

Har du delat webbhotell hos en etablerad leverantör räcker det att ställa en rak fråga till supporten: patchade ni CVE-2026-41940 och när skedde det? En proaktiv och välskött värd kan svara ja och ange ett datum. Det är inte ett märkligt krav att ställa.

Har du tillgång till ett cPanel-konto kan du kontrollera versionen i sidfoten när du är inloggad. De patchade versionerna för respektive release-gren publicerades av cPanel i säkerhetsbulletinen från 28 april.

Aktivera tvåfaktorsautentisering på ditt cPanel-konto om du inte redan gjort det. Var ärlig mot dig själv här: 2FA skyddar ditt kundkonto mot lösenordsstöld och phishing. Det hade inte stoppat den här specifika WHM-nivåbypassen, som inte behövde några inloggningsuppgifter alls. Men 2FA är en bra grundhygien oavsett.

Kör du en unmanaged VPS med cPanel bör du prenumerera på cPanels egna säkerhetsadvisories. Attackytan är din, och det förutsätter att du aktivt bevakar den.

Det den här incidenten egentligen handlar om

I min erfarenhet av webbhosting är den typen av patchning som hände natten 28 till 29 april något man som kund på ett välskött delat webbhotell sällan märker. Det sker tyst, i bakgrunden, som det ska. Det är faktiskt en av de bästa sakerna med att köpa hosting som en tjänst.

Men CVE-2026-41940 påminner om att din säkerhet på nätet inte enbart handlar om dina egna lösenord och rutiner. Den påverkas också av vilken värd du väljer och hur de jobbar, hur snabbt de agerar när en kritisk patch släpps, och om de berättar om det för dig. Det är mjuka faktorer som sällan syns på en prissida.

Vill du gå djupare i vad som skiljer säkra webbhotell från de som inte tar det på allvar kan du läsa vår guide om säkert webbhotell. Och letar du specifikt efter värdar med svenska datacenter och tydlig transparens är vår lista över svenska webbhotell en bra utgångspunkt.