Kritische cPanel-Lücke seit Monaten als Zero-Day ausgenutzt

Zusammenfassung

Angreifer nutzen seit Monaten eine kritische Schwachstelle in der Server- und Website-Verwaltungssoftware cPanel & WHM (WebHost Manager) aus, mit der sich die Anmeldung umgehen lässt. Die unter CVE-2026-41940 geführte Lücke erreicht den CVSS-Höchstbereich von 9.8 und wurde am 28. April offengelegt. cPanel forderte zu sofortigem Einspielen der Patches auf und warnte, dass alle Softwareversionen nach 11.40 betroffen seien, ohne zunächst technische Details zu nennen. Der Fehler steckt im Anmeldeablauf und erlaubt es entfernten, nicht authentifizierten Angreifern, administrativen Zugriff auf das Control Panel zu erlangen – faktisch eine vollständige Systemübernahme. Laut dem Canadian Centre for Cyber Security könnten Angreifer bei erfolgreichem Ausnutzen Serverkonfigurationen verändern und potenziell sämtliche Websites auf Shared-Hosting-Servern kompromittieren. Die Sicherheitsfirma Rapid7 verweist auf rund 1,5 Millionen über das Internet erreichbare cPanel-Instanzen, die laut einer Shodan-Suche möglicherweise angreifbar sind. Mehrere Hosting-Anbieter haben bereits reagiert und den Zugang zu den betroffenen Diensten gesperrt, um Patches einzuspielen.

Die Schwachstelle betrifft den Anmeldeablauf von cPanel & WHM. Gelingt das Ausnutzen, können entfernte und nicht authentifizierte Angreifer administrativen Zugriff auf das Control Panel erlangen und das System damit faktisch übernehmen. cPanel offenbarte die Lücke am 28. April und drängte zum sofortigen Patchen, hielt technische Informationen aber zunächst zurück. Betroffen sind nach Herstellerangaben alle Versionen nach 11.40.

Das Canadian Centre for Cyber Security weist darauf hin, dass Angreifer Serverkonfigurationen ändern und im schlimmsten Fall alle Websites auf Shared-Hosting-Servern kompromittieren könnten. Die Sicherheitsfirma Rapid7 formuliert es so: Ein erfolgreiches Ausnutzen von CVE-2026-41940 verschaffe einem Angreifer die Kontrolle über das cPanel-Hostsystem, dessen Konfigurationen und Datenbanken sowie über die von ihm verwalteten Websites. Eine Shodan-Suche zeige rund 1,5 Millionen über das Internet erreichbare cPanel-Instanzen, die für Angriffe offenstehen könnten, so das Unternehmen.

Die auf Angriffsflächen spezialisierte Firma WatchTowr analysierte die Lücke im Detail: Nach einem fehlgeschlagenen Anmeldeversuch schreibt der cPanel-Dienst eine Sitzungsdatei aus der Vor-Authentifizierungsphase auf die Festplatte. Ein Angreifer kann ein Cookie so manipulieren, dass von ihm kontrollierte Zugangsdaten im Klartext in diese Datei geschrieben werden. Konkret lassen sich über einen Authorization-Header bestimmte Zeichen einschleusen, um Parameter in die Sitzungsdatei zu schreiben; anschließend wird ein erneutes Laden der Datei ausgelöst, um sich mit den eingeschleusten Zugangsdaten anzumelden.

Laut einem Reddit-Beitrag des Hosting-Anbieters KnownHost wird die Schwachstelle bereits seit dem 23. Februar 2026 aktiv ausgenutzt. Unmittelbar nach der Benachrichtigung sperrten KnownHost, HostPapa, InMotion, Namecheap und weitere Anbieter den Zugang zu den cPanel-&-WHM-Ports, um die Patches sicher einzuspielen.

Die Korrekturen sind in den cPanel-&-WHM-Versionen 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.136.0.5 und 11.134.0.20 sowie in WP Squared 136.1.7 enthalten. cPanel rät in seinem Advisory dringend dazu, Server, die keine unterstützte und für das Update geeignete Version einsetzen, möglichst rasch zu aktualisieren – auch sie könnten betroffen sein.

Zur Erkennung möglicher Kompromittierungen hat cPanel ein Erkennungsskript veröffentlicht; WatchTowr stellt zusätzlich einen Detection Artifact Generator bereit, der Administratoren beim Aufspüren von Spuren eines Angriffs unterstützt.

Kritische cPanel-Lücke seit Monaten als Zero-Day ausgenutzt

Ähnliche Artikel

Neueste Artikel