Aktive Angriffe auf cPanel-Schwachstelle: Webseiten und Backups komplett gelöscht

Zusammenfassung

Eine kritische Schwachstelle in cPanel und dem WebHost Manager (WHM) wird derzeit aktiv ausgenutzt. Die unter CVE-2026-41940 geführte Lücke ermöglicht eine Umgehung der Authentifizierung und erlaubt es entfernten Angreifern, erhöhte Kontrolle über das Verwaltungsfenster zu erlangen. In einigen Fällen führten die Angriffe dazu, dass komplette Webseiten samt ihrer Backups vollständig gelöscht wurden. Bei anderen Vorfällen setzten die Angreifer Varianten des Mirai-Botnetzes sowie eine Ransomware namens Sorry ein. Die Schwachstelle zählt zu den schwerwiegendsten Befunden der Woche und steht auf der Liste jener Lücken, die laut den zusammengetragenen Sicherheitsmeldungen vorrangig geschlossen werden sollten — sie ist als dringend markiert. Der Vorfall reiht sich in eine Woche ein, in der zahlreiche weit verbreitete Produkte von hochriskanten oder bereits in der Praxis erprobten Schwachstellen betroffen waren. Für Betreiber von cPanel-Systemen ist die Lücke besonders heikel, weil der Verwaltungspanel das zentrale Steuerungswerkzeug für Hosting-Umgebungen ist und ein erfolgreicher Zugriff weitreichende Folgen für gehostete Webseiten haben kann.

Im Mittelpunkt der aktuellen Sicherheitsmeldungen steht eine kritische Schwachstelle in cPanel und dem WebHost Manager (WHM). Sie wird unter der Kennung CVE-2026-41940 geführt und befindet sich bereits unter aktiver Ausnutzung. Über die Lücke lässt sich die Authentifizierung umgehen, sodass entfernte Angreifer erhöhte Kontrolle über das Verwaltungsfenster übernehmen können.

Die beobachteten Angriffe verlaufen unterschiedlich. In einem Teil der Fälle wurden ganze Webseiten einschließlich ihrer Backups vollständig gelöscht. In anderen Fällen brachten die Angreifer Varianten des Mirai-Botnetzes auf die Systeme oder setzten eine Ransomware mit dem Namen Sorry ein.

CVE-2026-41940 ist nur einer von zahlreichen Befunden, die in dieser Woche zusammengetragen wurden. Die Sammlung umfasst hochriskante, weit verbreitete oder bereits aktiv angegriffene Schwachstellen, die nach Einschätzung der Übersicht vorrangig behandelt werden sollten. Die cPanel-Lücke ist dabei ausdrücklich als dringend gekennzeichnet.

Zu den weiteren aufgeführten Schwachstellen zählen unter anderem CVE-2026-31431 (auch als Copy Fail bezeichnet) im Linux-Kernel, CVE-2026-42208 in LiteLLM sowie CVE-2026-3854 in GitHub.com und dem GitHub Enterprise Server. Hinzu kommen CVE-2026-32202 in der Windows Shell, CVE-2026-26268 in Cursor, CVE-2026-35414 in OpenSSH und CVE-2026-6770 in Mozilla Firefox und dem Tor Browser.

Die Liste setzt sich mit Lücken in ProFTPD (CVE-2026-42167), OpenEMR (CVE-2026-24908, CVE-2026-23627, CVE-2026-24487) und GRASSMARLIN (CVE-2026-6807) fort. Ebenfalls genannt werden mehrere Schwachstellen in Google Chrome und Mozilla Firefox, in CPython (CVE-2026-6100), SonicWall (CVE-2026-0204) und FreeBSD (CVE-2026-42511).

Abgerundet wird die Aufstellung durch vier Lücken in Exim, mehrere Befunde in Wireshark und Jenkins, eine Schwachstelle in Notepad++ (CVE-2026-3008) sowie drei Schwachstellen in CODESYS (CVE-2025-41658, CVE-2025-41659, CVE-2025-41660).

Aktive Angriffe auf cPanel-Schwachstelle: Webseiten und Backups komplett gelöscht

Ähnliche Artikel

Neueste Artikel