Kritiek beveiligingslek in cPanel actief misbruikt: wat websitebeheerders moeten weten

Een ernstig beveiligingslek in cPanel en WHM wordt actief misbruikt door aanvallers, aldus Security.NL. Beveiligingsupdates werden beschikbaar gesteld op 28 april 2026, maar misbruik zou al zijn begonnen op 23 februari 2026.

Wat zijn cPanel en WHM?

cPanel is een beheerpaneel waarmee individuele hostingaccounts worden beheerd. WHM (WebHost Manager) is de interface die hostingproviders gebruiken om servers te beheren en cPanel-accounts aan te maken. Volgens Security.NL zijn er wereldwijd ongeveer 1,5 miljoen cPanel-installaties bereikbaar via het internet.

Wat is het lek?

Het lek, geregistreerd als CVE-2026-41940, is als kritiek beoordeeld. Het stelt een aanvaller die niet is ingelogd in staat het inlogproces volledig te omzeilen en beheerderstoegang tot een server te verkrijgen.

Volgens Security.NL werkt het als volgt: voordat authenticatie plaatsvindt, schrijft het systeem een sessiebestand. Een aanvaller kan willekeurige waarden in dat bestand schrijven, zoals de bewering de rootgebruiker te zijn, en het bestand vervolgens opnieuw laden om volledige toegang te krijgen. Er is geen wachtwoord nodig.

Waarom is dit urgent?

Verschillende factoren maken deze situatie urgenter dan een gewone software-update:

• Volgens Security.NL zou misbruik al plaatsvinden sinds 23 februari 2026, ruim voor de patch werd uitgebracht op 28 april 2026
• Beveiligingsbedrijf watchTowr heeft een proof-of-concept exploit gepubliceerd, waardoor de aanvalsmethode nu openbaar beschikbaar is
• Beveiligingsbedrijf Rapid7 waarschuwt dat grootschalig misbruik als gevolg hiervan op handen is
• Volgens Security.NL zijn ook end-of-life versies van cPanel kwetsbaar, maar ontvangen deze geen patch

cPanel bracht op 28 april 2026 een beveiligingsupdate uit, samen met detectiescripts waarmee kan worden vastgesteld of een systeem al is gecompromitteerd.

Wat kunt u doen?

Als uw website draait op een hostingaccount dat wordt beheerd via cPanel of WHM, is de belangrijkste stap contact opnemen met uw hostingprovider en vragen of zij de beveiligingsupdate voor CVE-2026-41940 hebben doorgevoerd. U hoeft de technische details niet te begrijpen om die vraag te stellen. Als uw hostingprovider een end-of-life versie van cPanel gebruikt, vraag dan naar hun plannen om over te stappen naar een ondersteunde versie.

U kunt ook onze beveiligingschecklist voor het mkb raadplegen voor praktische stappen om uw website te beschermen.

Wat betekent dit voor uw website?

Als uw website wordt gehost op een cPanel-gebaseerd hostingaccount, is uw hostingprovider verantwoordelijk voor het doorvoeren van deze patch, maar het is de moeite waard dit rechtstreeks bij hen na te vragen. Een gecompromitteerd hostingaccount kan een aanvaller volledige controle geven over uw website, inclusief toegang tot klantgegevens of de mogelijkheid uw content te wijzigen. In contact blijven met uw hostingprovider tijdens actieve beveiligingsincidenten zoals dit is een eenvoudige en verstandige stap.