Falls jemand cPanel oder WHM bei seinem Hoster oder Webserver verwendet, sollte schnellstmöglich ein Update erfolgen. Zum 28. April 2026 wurden gravierende Schwachstellen in der Software bekannt. Diese erlauben einen unautorisierte Anmeldung an der cPanel oder WHM Oberfläche. Ergänzung: Die Schwachstelle hat die CVE-2026-41940 sowie den CVSS Score von 9.8 erhalten. Zudem warnt CERT Bund jetzt vor der Schwachstelle. Es sind wohl mindestens 44.000 Instanzen kompromittiert.
cPanel ist eine von cPanel, L.L.C. entwickelte Software für Webhosting-Control-Panels. Sie bietet eine grafische Benutzeroberfläche (GUI) sowie Automatisierungstools, die darauf ausgelegt sind, den Prozess des Webhostings für den Website-Betreiber oder „Endnutzer" zu vereinfachen. Die Verwaltung erfolgt über einen Standard-Webbrowser auf Basis einer dreistufigen Struktur. Während cPanel auf die Verwaltung eines einzelnen Hosting-Kontos beschränkt ist, ermöglicht cPanel und dem Web Host Manager (WHM) die Verwaltung des gesamten Servers. HostEurope setzt beispielsweise auf cPanel (siehe Host Europe: cPanel-Migration, ein Erfahrungsbericht).
Schwachstelle in cPanel und WHM
Mir ist das Thema bezüglich eines Sicherheitsproblems die Nacht in folgendem Tweet untergekommen. Dort wird eine weltweite Sicherheitswarnung thematisiert. Es heißt, dass eine kritische Schwachstelle in cPanel und WHM entdeckt wurde.
Die Sicherheitswarnung betreffe eine der weltweit am häufigsten genutzten Pakete zur Verwaltung von Servern (cPanel & WHM). Große Hosting-Anbieter hätten begonnen, den Zugriff auf ihre Dienste proaktiv zu sperren, da eine kritische Sicherheitslücke in den Anmelde- und Authentifizierungssystemen festgestellt wurde.
Auf der cPanel-Supportseite findet sich diese Warnung, der zufolge alle supporteten Versionen betroffen sind. Mit folgendem Befehl /scripts/upcp –force lässt sich die betreffende cPanel-Version ermitteln. Von den Entwicklern der cPanel-Software gibt es bereits Patches für folgende Versionen:
11.110.0.97
11.118.0.63
11.126.0.54
11.132.0.29
11.136.0.5
11.134.0.20
Diese Updates stehen aber nur für supportete cPanel-Versionen bereit. Wer eine nicht supportete cPanel-Version betreibt, sollte diese aktualisieren und dann auf die gepachten Pakete bringen.
Erste weitere Maßnahmen, die man als Administrator eines Pakets, welches cPanel verwendet, unternehmen kann, besteht darin, Massenzugriffe auf die Standard-Zugangsports:
- Port 2083: cPanel-Zugang
- Port 2087: WHM-Zugang (WebHost Manager)
zu blockieren. Webhoster sollten diese Maßnahmen bestenfalls bereits eingeleitet und/oder die Pakete gepachts haben.
Ergänzung: Die Schwachstelle hat die CVE-2026-41940 sowie den CVSS Score von 9.8 erhalten. Zudem warnt CERT Bund jetzt vor der Schwachstelle. Es sind wohl mindestens 44.000 Instanzen kompromittiert.
Laut diesem Tweet meldet Shadowserver, dass am 30. April 2026 mindestens 44.000 einzelne IP-Adressen kompromittiert waren und ihr Honeypot-Netzwerk aktiv scannten. Das heißt: Innerhalb von etwa 24 Stunden nach der öffentlichen Bekanntgabe haben Angreifer bereits genügend anfällige cPanel/WHM-Server übernommen, um sie als globalen Scan-Schwarm einzusetzen und nach der nächsten Gruppe von Opfern zu suchen. Jede dieser 44.000 IP-Adressen ist selbst ein kompromittierter Host, meist Shared-Hosting-Server, auf denen Kundenwebsites, E-Mail-Konten und Datenbanken laufen. Shadowserver meldet außerdem insgesamt etwa 650.000 cPanel/WHM-Instanzen, die dem Internet ausgesetzt sind. Alles, was heute nicht gepatcht ist, befindet sich im Zielpool.
MVP: 2013 – 2016
