CVE-2026-41940: Kritische cPanel-Lücke aktiv ausgenutzt

Eine schwerwiegende Sicherheitslücke in cPanel, einer der am weitesten verbreiteten Verwaltungsoberflächen für Webhosting, wird laut The Register aktiv von Angreifern ausgenutzt. Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstelle, die unter der Kennung CVE-2026-41940 geführt wird, in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und damit bestätigt, dass reale Angriffe bereits stattfinden.

Was ist die Schwachstelle?

Laut The Register weist CVE-2026-41940 einen CVSS-Schweregrad von 9,8 von 10 auf und ist damit nahezu der schlimmstmögliche Fall. Sie betrifft nach aktuellem Kenntnisstand alle unterstützten Versionen von cPanel und WHM, die nach Version 11.40 veröffentlicht wurden, sowie WP Squared, eine WordPress-Verwaltungsschicht, die auf derselben Plattform aufbaut. Ein erfolgreicher Angriff kann einem Angreifer die vollständige Kontrolle über den betroffenen Server verschaffen.

Sicherheitsforschende haben laut The Register rund 1,5 Millionen über das Internet erreichbare cPanel-Instanzen identifiziert, was einen Eindruck von der weiten Verbreitung dieser Software vermittelt. Die Ausnutzung der Lücke soll bereits vor der Verfügbarkeit von Patches begonnen haben. Ein Hosting-Anbieter gab an, bereits ab dem 23. Februar 2026 Angriffsversuche beobachtet zu haben.

Was ist bisher passiert?

Laut The Register sind die Folgen bereits sichtbar. Der Hosting-Anbieter Namecheap hat den Zugang zu cPanel und WHM vorübergehend gesperrt, während Korrekturen vorbereitet wurden. Ein weiterer Anbieter, KnownHost, forderte seine Kundinnen und Kunden auf, den Zugang einzuschränken und davon auszugehen, dass ihre Systeme bereits kompromittiert sein könnten, sofern sie nicht gepatcht wurden.

Auf einer persönlicheren Ebene berichtet The Register von einem Kleinunternehmer, der nach dem Betrieb einer Standard-cPanel-Konfiguration mit einer Ransomware-Forderung von 7.000 US-Dollar konfrontiert wurde. The Register weist darauf hin, dass es sich dabei um einen Einzelbericht handelt, der jedoch veranschaulicht, welchen konkreten Schaden diese Schwachstelle verursachen kann.

Was sollten Sie tun?

Wenn Ihre Website auf einem Server gehostet wird, der cPanel oder WHM verwendet, ist der wichtigste Schritt, Ihren Hosting-Anbieter zu kontaktieren und zu fragen, ob Ihre Umgebung gepatcht wurde und ob es Anzeichen für eine Kompromittierung gibt. Gehen Sie nicht davon aus, dass Ihr Anbieter dies bereits erledigt hat. Wenn Sie Ihr Hosting selbst verwalten, spielen Sie verfügbare Updates sofort ein und befolgen Sie die Hinweise Ihres Anbieters zur Zugangsbeschränkung.

Sie können auch unsere Sicherheits-Checkliste für Kleinunternehmen lesen und prüfen, ob anfällige Plugins Ihrer Website ein zusätzliches Risiko darstellen.

Was bedeutet das für Ihre Website?

Wenn Ihre Website auf einem Shared- oder Managed-Hosting-Angebot läuft, das cPanel nutzt, könnte Ihr Server zu den betroffenen Systemen gehören, ohne dass Sie direkten Einfluss darauf haben, wann Patches eingespielt werden. Dies ist ein guter Moment, um Ihren Hosting-Anbieter um eine klare Auskunft zum Status Ihres Accounts zu bitten und zu erfragen, ob ungewöhnliche Aktivitäten festgestellt wurden. Es ist außerdem ratsam, diese Kommunikation zu dokumentieren, insbesondere wenn Sie auf Ihrer Website Kundendaten speichern. Wer personenbezogene Daten verarbeitet, sollte im Blick behalten, ob ein Sicherheitsvorfall eine Meldepflicht nach DSGVO auslösen könnte.

Quelle: The Register