CPanel/WHM 인증 우회 CVE-2026-41940 — CRLF 주입으로 root 탈취
실패한 로그인의 preauth 세션을 잡고, 비밀번호 필드에 CRLF를 넣어 세션 데이터에 hasroot=1을 주입하는 방식. 세션 파싱과 저장 사이의 필터링 갭을 찔렀다. 패치는 saveSession 내부에서 위험 문자를 제거하도록 변경. 웹 호스팅 패널이 아직도 이런 수준의 취약점을 갖고 있다는 게 놀랍다.
↗ labs.watchtowr.com