Versão amplamente usada em hospedagem web tinha falha grave. Patch publicado, mas não aplicado em milhares de instalações africanas.
A CVE-2026-41940, divulgada em Maio, afecta o cPanel, sistema de gestão amplamente usado por milhões de servidores de hospedagem em todo o mundo. A vulnerabilidade permite execução remota de código em determinadas condições, com privilégios elevados. Patch disponível desde 1 de Maio.
A questão é se o patch foi aplicado.
CPanel CVE-2026-41940: o que é o cPanel
O cPanel é o painel de controlo mais popular para hospedagem web compartilhada. Empresas que vendem hospedagem (alojamento de sites, emails, bases de dados) usam-no para gerir milhões de servidores. Os utilizadores finais, donos de sites e blogs, usam-no para administrar as suas contas.
Em África, o cPanel está em praticamente todas as empresas de hospedagem locais. Em Moçambique, todas as principais hospedagens (Tdm.co.mz, MozServer, AlphaWeb, entre outras) usam cPanel. Em Angola, idem. O mesmo se aplica a Quénia, Nigéria, África do Sul.
A Vulnerabilidade
A CVE-2026-41940 é falha que permite a um atacante enviar pedido especialmente formatado para servidor com cPanel, executar código no servidor com privilégios do utilizador cPanel, e em condições adicionais, escalar para privilégios de administrador.
A complexidade do ataque é moderada. Não é trivial, mas não é extraordinariamente difícil. Atacantes com conhecimento médio podem explorar a falha.
A gravidade é alta. Comprometer um servidor de hospedagem significa, potencialmente, comprometer centenas de sites de clientes.
O Patch
O patch foi publicado em 1 de Maio, 24 horas após a divulgação responsável da vulnerabilidade. A aplicação requer acesso administrativo ao servidor (root), comando yum update cpanel (para sistemas baseados em Red Hat) ou equivalente para outros sistemas, e reinício de alguns serviços.
Em servidores bem geridos, a aplicação do patch demora 10-15 minutos. Em servidores mal geridos, sem monitorização activa, sem políticas de actualização, pode nunca ser aplicada.
A Realidade Africana
Pesquisas independentes (incluindo análises da Shadowserver Foundation) sugerem que, em África, mais de 100.000 servidores ainda correm versões vulneráveis três semanas após a divulgação do patch.
Os motivos. Falta de monitorização: muitos administradores não recebem alertas sobre vulnerabilidades novas. Receio de aplicar patches: alguns administradores temem que actualizações partam funcionalidades, e preferem adiar. Servidores abandonados: instalações cPanel antigas que ninguém actualiza activamente. Falta de pessoal: empresas pequenas não têm equipa dedicada de IT.
Em Moçambique, várias hospedagens locais não publicaram comunicado oficial sobre aplicação do patch. Para os clientes finais, é difícil saber se o servidor onde está alojado o seu site foi actualizado.
Como Verificar (e Proteger)
Para utilizadores finais (donos de sites): contactar o seu fornecedor de hospedagem directamente, perguntando se a CVE-2026-41940 foi mitigada. Verificar a versão do cPanel, na sua conta cPanel, há informação sobre a versão; versões 110 e superiores estão patched. Activar autenticação de dois factores na sua conta cPanel. Manter cópia de segurança independente do servidor, para poder recuperar se o servidor for comprometido.
Para administradores: aplicar patch imediatamente, se ainda não o fez. Auditar logs dos últimos 30 dias para sinais de exploração. Implementar monitorização automática para CVEs futuras.
“Para administradores de sistemas: actualizar agora não é prudência. É profilaxia mínima. Para utilizadores: o fornecedor que não responde sobre CVEs é fornecedor que está a fugir da pergunta, e isso, por si só, é resposta.”
A Lição Estrutural
A CVE-2026-41940 não é caso isolado. Vulnerabilidades graves em software amplamente usado são publicadas mensalmente. Cada uma é oportunidade para atacantes.
A solução estrutural para o continente africano passa por três investimentos. CERTs nacionais funcionais que disseminem alertas em tempo real. Formação de administradores de sistemas em práticas modernas de actualização. Padronização de SLAs nos contratos de hospedagem, exigindo aplicação de patches críticos em X horas.
Sem isso, África vai continuar a ser mercado fácil para atacantes sofisticados, e sem prejuízo para a sua reputação, porque ninguém mede sistematicamente os danos. A oportunidade perdida é silenciosa, mas é real.
Mais sobre cPanel CVE-2026-41940 na cobertura internacional da Kabum Digital. Fonte oficial: MITRE CVE database.
