Die drei neu entdeckten Sicherheitslücken betreffen Core-Funktionen von cPanel und WHM, den Standard-Verwaltungsinterfaces für Webhosting-Server in Deutschland und weltweit. Während es bislang keine Anzeichen für aktive Exploits gibt, ist die parallele Bedrohungslage alarmierend.
Die Zero-Day-Lücke CVE-2026-41940, die nur Tage zuvor publik wurde, wird bereits von Angreifern missbraucht. Kriminelle haben damit begonnen, infizierte cPanel-Systeme als Einstiegspunkt zu nutzen, um Mirai-Botnetz-Varianten einzuschleusen. Mirai-Infektionen ermöglichen es Angreifern, kompromittierte Server für massive DDoS-Attacken einzuspannen. Besonders besorgniserregend ist die parallele Verbreitung der Ransomware “Sorry”, die auf infizierten Systemen Daten verschlüsselt und Lösegeld fordert.
Für deutsche Betreiber von Shared-Hosting, Reseller-Hosting oder Managed-Server-Lösungen bedeutet dies konkret: Ein nicht gepatchtes cPanel kann zum Einfallstor für Ransomware-Angriffe werden, die nicht nur die eigenen Daten gefährden, sondern auch alle gehosteten Kundenseiten betreffen. Damit entstehen unmittelbar Compliance-Probleme: Betroffen sind potentiell Millionen von Website-Besucherdaten.
cPanel hat neue Versionen bereitgestellt, einschließlich einer speziellen Version 110.0.114 für Legacy-Systeme auf CentOS 6 oder CloudLinux 6. Administatoren sollten diese Updates priorisiert einspielen. Das BSI empfiehlt, solche sicherheitskritischen Updates innerhalb von 48 Stunden zu implementieren.
Parallel zum Patching sollten Administratoren ihre Logs auf verdächtige Aktivitäten prüfen und überprüfen, ob sich Unbefugte Zugang verschafft haben. Sicherheitsteams sollten zudem ihre Backup-Systeme validieren, um im Fall einer Ransomware-Infektion schnell reagieren zu können. Die Kombination aus bereits exploitierter Lücke und neuen kritischen Schwachstellen macht schnelles Handeln zur Pflicht — nicht nur zur Best Practice.