Microsoft Patch Tuesday od 13. svibnja 2026. otvara zanimljivo pitanje jer u aktivnom sigurnosnom okruženju gdje su prošli tjedan exploitani cPanel (44.000+ servera), Canvas LMS (275 milijuna korisnika) i Flowise (AI razvojna platforma), zašto nema zero-dayeva u Microsoft production okruženjima? Postoje dva moguća objašnjenja koja nisu međusobno isključiva.
CVE-2026-41940 je authentication bypass ranjivost u cPanel i WebHost Manager (WHM) platformi najraširenijem web hosting control panel sustavu na internetu koji pokreće milijune hosting servera diljem svijeta. Ranjivost ima CVSS score 9.8 (critical) i omogućuje neautentificiranom udaljenom napadaču da zadobije root pristup bez ikakvih kredencijala.
Aktivna zloupotreba propusta u cPanelu posebno je osjetljiva zato što pogađa infrastrukturu koja je vrlo često skriveni temelj velikog broja web servisa, portala, korisničkih stranica i poslovnih aplikacija. Kad napadači dobiju put prema kontrolnom sloju, ne napadaju samo jedan server nego potencijalno cijeli operativni kontekst u kojem se nalaze korisnički računi, domene, pošta, baze i sigurnosne kopije.
cPanel i WHM nisu egzotični alati na rubu tržišta, nego dio svakodnevice golemog broja hosting okruženja i administracijskih radnih tokova. Kada takav softver dobije zero-day koji omogućuje zaobilaženje autentikacije, posljedice se ne zadržavaju na jednom serveru ili jednom administratoru. Ugroženi mogu biti korisnički paneli, stranice, mail sustavi, baze podataka i cijeli niz klijentskih resursa koji na toj platformi ovise o centraliziranom upravljanju.
