Kritische cPanel-Lücke CVE-2026-41940 aktiv ausgenutzt

Eine schwerwiegende Sicherheitslücke in cPanel und WHM wird aktiv von Angreifern ausgenutzt, laut Security.NL. Sicherheitsupdates wurden am 28. April 2026 bereitgestellt, die Ausnutzung soll jedoch bereits ab dem 23. Februar 2026 begonnen haben.

Was sind cPanel und WHM?

cPanel ist ein Verwaltungspanel für einzelne Hosting-Accounts. WHM (WebHost Manager) ist die Oberfläche, über die Hosting-Anbieter Server verwalten und cPanel-Accounts anlegen. Laut Security.NL sind rund 1,5 Millionen cPanel-Installationen über das Internet erreichbar.

Was ist die Schwachstelle?

Die als CVE-2026-41940 identifizierte Lücke wird als kritisch eingestuft. Sie ermöglicht es einem nicht angemeldeten Angreifer, den Anmeldevorgang vollständig zu umgehen und Administratorzugang zu einem Server zu erlangen.

Laut Security.NL ist die Funktionsweise geradlinig: Bevor die Authentifizierung stattfindet, schreibt das System eine Sitzungsdatei. Ein Angreifer kann beliebige Werte in diese Datei schreiben, etwa die Behauptung, der Root-Benutzer zu sein, und die Datei anschließend neu laden, um vollen Zugriff zu erhalten. Ein Passwort ist dabei nicht erforderlich.

Warum ist das dringend?

Mehrere Faktoren machen diese Situation drängender als ein gewöhnliches Software-Update:

• Laut Security.NL soll die Ausnutzung bereits seit dem 23. Februar 2026 stattfinden, also deutlich vor der Veröffentlichung des Patches am 28. April 2026
• Das Sicherheitsunternehmen watchTowr hat einen Proof-of-Concept-Exploit veröffentlicht, womit die Angriffsmethode nun öffentlich verfügbar ist
• Das Sicherheitsunternehmen Rapid7 warnt, dass eine großflächige Ausnutzung infolgedessen unmittelbar bevorsteht
• Laut Security.NL sind auch End-of-Life-Versionen von cPanel betroffen, werden jedoch keinen Patch erhalten

cPanel hat am 28. April 2026 ein Sicherheitsupdate veröffentlicht, zusammen mit Erkennungsskripten, die dabei helfen sollen festzustellen, ob ein System bereits kompromittiert wurde.

Was sollten Sie tun?

Wenn Ihre Website über einen durch cPanel oder WHM verwalteten Hosting-Account betrieben wird, ist der wichtigste Schritt, Ihren Hosting-Anbieter zu kontaktieren und zu fragen, ob das Sicherheitsupdate für CVE-2026-41940 eingespielt wurde. Technische Kenntnisse sind dafür nicht erforderlich. Falls Ihr Hosting-Anbieter eine End-of-Life-Version von cPanel einsetzt, fragen Sie nach seinen Plänen für einen Wechsel zu einer unterstützten Version.

Sie können außerdem unsere Sicherheits-Checkliste für kleine Unternehmen mit praktischen Schritten zum Schutz Ihrer Website einsehen.

Was bedeutet das für Ihre Website?

Wenn Ihre Website auf einem cPanel-basierten Hosting-Account liegt, ist Ihr Hosting-Anbieter für das Einspielen dieses Patches verantwortlich. Es lohnt sich dennoch, direkt bei ihm nachzufragen. Ein kompromittierter Hosting-Account könnte einem Angreifer die vollständige Kontrolle über Ihre Website verschaffen, einschließlich des Zugriffs auf Kundendaten oder der Möglichkeit, Ihre Inhalte zu verändern. Für Unternehmen, die personenbezogene Daten über ihre Website verarbeiten, kann ein solcher Vorfall auch datenschutzrechtliche Relevanz haben. Den Kontakt zum Hosting-Anbieter während aktiver Sicherheitsvorfälle wie diesem aufrechtzuerhalten ist eine einfache und sinnvolle Maßnahme.