Kritische Authentifizierungslücke in cPanel und WHM als Zero-Day ausgenutzt – PoC verfügbar

Zusammenfassung

Die als kritisch eingestufte Schwachstelle CVE-2026-41940 in cPanel, WHM und WP Squared erlaubt das Umgehen der Authentifizierung und wird laut Sicherheitsforschern aktiv ausgenutzt. Der Hosting-Anbieter KnownHost, der cPanel einsetzt, erklärte am Tag der Veröffentlichung, dass „erfolgreiche Exploits in freier Wildbahn beobachtet" worden seien – und das bereits, bevor ein Patch zur Verfügung stand. KnownHost-Chef Daniel Pearson zufolge registrierte das Unternehmen Ausnutzungsversuche bereits ab dem 23. Februar 2026. Inzwischen liegen detaillierte technische Analysen vor, mit denen sich ein funktionierender Exploit entwickeln lässt. cPanel veröffentlichte nach Druck von Hosting-Anbietern am 28. April einen Patch. Die Sicherheitsfirma watchTowr beschreibt die Ursache als fehlerhafte Sitzungsverwaltung: Vom Nutzer kontrollierte Eingaben aus dem Authorization-Header werden vor der Authentifizierung und ohne ausreichende Bereinigung in serverseitige Sitzungsdateien geschrieben. Eine erfolgreiche Ausnutzung verschafft Angreifern laut Rapid7 die Kontrolle über das cPanel-Hostsystem, dessen Konfigurationen und Datenbanken sowie die verwalteten Websites.

Wann die Angriffe tatsächlich begannen, ist unklar. KnownHost-CEO Daniel Pearson erklärte jedoch, sein Unternehmen habe „Ausführungsversuche bereits ab dem 23.02.2026" festgestellt. Bereits am Tag der Offenlegung sprach der Hosting-Anbieter davon, dass erfolgreiche Angriffe beobachtet worden seien, bevor eine Korrektur bereitstand.

Die neu veröffentlichten technischen Details benennen die Schwachstelle als „Carriage Return Line Feed (CRLF)-Injection" in den Anmelde- und Sitzungsladeprozessen von cPanel und WHM. Laut einem Bericht der auf offensive Sicherheit spezialisierten Firma watchTowr entsteht der Fehler durch eine unsachgemäße Sitzungsverwaltung: Eingaben aus dem Authorization-Header gelangen vor der Authentifizierung und ohne ausreichende Bereinigung in serverseitige Sitzungsdateien. Die Forscher von watchTowr legten zudem dar, wie sich die Lücke nutzen lässt, um sich ohne Prüfung des angegebenen Passworts am System anzumelden – eine Grundlage, um einen funktionsfähigen Exploit zu entwickeln.

cPanel stellte den Patch am 28. April bereit, nachdem Hosting-Anbieter Druck ausgeübt hatten. Um Kunden zu schützen, sperrte Namecheap vorübergehend die Verbindungen zu den cPanel- und WHM-Ports 2083 und 2087, bis Patches verfügbar waren.

Nach Angaben von Rapid7 zeigen Shodan-Scans rund 1,5 Millionen online erreichbare cPanel-Instanzen. Wie viele davon für CVE-2026-41940 anfällig sind, ist nicht bekannt. „Eine erfolgreiche Ausnutzung von CVE-2026-41940 verschafft einem Angreifer die Kontrolle über das cPanel-Hostsystem, seine Konfigurationen und Datenbanken sowie die von ihm verwalteten Websites", warnt Rapid7.

cPanel aktualisierte seine Sicherheitsmeldung und wies darauf hin, dass auch WP Squared betroffen ist, ein auf cPanel aufbauendes Verwaltungspanel für WordPress-Hosting. Anders als zunächst angegeben sind zudem nur cPanel-Versionen nach 11.40 betroffen. Der Hersteller empfiehlt allen Kunden ausdrücklich, nach der Installation der aktuellen Versionen den Dienst „cpsrvd" neu zu starten.

Ist ein sofortiges Einspielen der Patches nicht möglich, sollten Kunden zumindest den externen Zugriff auf die Ports 2083, 2087, 2095 und 2096 blockieren oder die internen Kerndienste cpsrvd und cpdavd stoppen. cPanel stellt außerdem ein Erkennungsskript bereit, mit dem sich eine Kompromittierung prüfen lässt. Werden Hinweise gefunden, empfiehlt der Hersteller, Sitzungen zu löschen, sämtliche Zugangsdaten zurückzusetzen, Protokolle auszuwerten und nach Persistenzmechanismen zu suchen. watchTowr veröffentlichte zusätzlich einen „Detection Artifact Generator", mit dem sich prüfen lässt, ob cPanel- und WHM-Instanzen für die Lücke anfällig sind.

Kritische Authentifizierungslücke in cPanel und WHM als Zero-Day ausgenutzt – PoC verfügbar

Ähnliche Artikel

Neueste Artikel