Ein Login-Fehler ließ 70 Millionen cPanel-Webseiten für jedermann offen stehen

Eine kritische Authentifizierungs-Bypass-Schwachstelle in cPanel und WHM ließ Angreifer durch die Vordertür jedes über das Internet erreichbaren Control-Panels gehen, ohne Benutzername oder Passwort. Die Lücke, registriert als CVE-2026-41940 mit einem CVSS-Wert von 9,8 von 10, betrifft alle unterstützten Versionen der Software, die weltweit rund 70 Millionen Domains verwaltet. Sicherheitsforscher bestätigen, dass beim Eintreffen des Notfall-Patches bereits aktive Exploits im Umlauf waren — für viele Hoster lautet die Frage nicht mehr, ob ihre Server verwundbar sind, sondern ob sie kompromittiert wurden, bevor sie aktualisieren konnten.

Die Schwachstelle steckt in der Sitzungs-Lade- und Speicherlogik von cPanel, intern als CPANEL-52908 verfolgt. Praktisch übersetzt: Ein Angreifer konnte eine fehlgeformte Login-Anfrage senden und gültige Sitzungs-Credentials für ein Konto erhalten, bei dem er sich nie authentifiziert hatte — im schlimmsten Fall samt Root-Zugriff auf WHM, das serverseitige Dashboard, das Hosting-Konten, E-Mail-Routing, SSL-Zertifikate und Datenbankdienste steuert. Sechs Versions-Branches benötigten dringend Patches: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 und 11.136.0.5. Server, die noch nicht unterstützte cPanel-Versionen ausführen, erhalten gar keinen Patch und sollten als aktiv kompromittiert behandelt werden.

cPanel ist die Standard-Control-Panel-Schicht für die Shared-Hosting-Infrastruktur, die einen großen Teil des Verbraucher-Web stützt. Ein erfolgreicher Angriff auf einen einzigen cPanel-Server kann auf tausende nachgelagerte Seiten überschwappen — jede Domain, die auf der Maschine liegt, plus deren E-Mail, Datenbanken und Kundendateien. Das Forschungsteam von watchTowr Labs beschrieb die betroffenen Systeme als die Verwaltungsebene eines erheblichen Teils des Internets, und ein Anbieter, KnownHost, bestätigte, dass die Ausnutzung bereits stattfand, bevor irgendeine Warnung veröffentlicht wurde.

Das könnte Ihnen auch gefallenHexstrike-AI: Die Dämmerung der autonomen Zero-Day-Ausnutzung

Namecheap, einer der größten Reseller-Anbieter auf der Plattform, ergriff den ungewöhnlichen Schritt, den Zugriff auf die Ports 2083 und 2087 — die Web-Eingänge zu cPanel und WHM — vorübergehend für alle Kunden zu blockieren, während der Patch ausgerollt wurde. Als das Update die Reseller- und Stellar-Business-Flotten des Unternehmens erreichte, war die Plattform mehrere Stunden lang von außen praktisch dunkel gewesen. Weitere große Anbieter veröffentlichten ähnliche Hinweise und empfahlen ihren Kunden, /scripts/upcp –force als Root auszuführen, um das Update zu erzwingen, anstatt auf das automatische Wartungsfenster zu warten.

Die Alarmstimmung verdient ein paar Einschränkungen. cPanel selbst hat keine tiefgehenden technischen Details zur Schwachstelle veröffentlicht — der Großteil der öffentlichen Analyse stammt von externen Forschern, die den Patch zurückentwickelt haben, was bedeutet, dass die genauen Ausnutzungsbedingungen weiterhin teilweise im Nebel liegen. Die Zahl von 70 Millionen Domains ist eine alteingesessene Schätzung aus cPanels eigenem Marketingmaterial und schließt Shared-Hosting-Konten ein, in denen ein einzelner Panel-Server tausende Webseiten betreut; die Anzahl der tatsächlich betroffenen einzelnen Server ist deutlich geringer. Und obwohl die Ausnutzung vor dem Patch bestätigt ist, wurde bisher kein größerer öffentlicher Sicherheitsvorfall offengelegt, der dieser CVE zugeschrieben wird — das kann sich in den nächsten Wochen ändern, wenn forensische Untersuchungen abschließen, oder eben nicht.

Das Geschehen passt in ein Muster, auf das Sicherheitsforscher seit Jahren hinweisen: die Verwaltungsebene des Verbraucher-Hostings gehört zu den wertvollsten und am wenigsten beobachteten Zielen im Internet. Ein Fehler in einer einzigen Control-Panel-Komponente kann einem Angreifer gleichzeitig die Schlüssel zu tausenden kleinen, kaum verteidigten Webseiten in die Hand geben, ohne aufwendige Exploit-Ketten. Authentifizierungs-Bypass-Bugs in cPanel-ähnlicher Software werden auf Untergrundmärkten teuer gehandelt, und die Spanne zwischen Bekanntgabe und vollständiger Patch-Abdeckung wird bei nicht verwalteten unabhängigen Servern in Wochen gemessen — lange nachdem der öffentliche Nachrichtenzyklus weitergezogen ist.

cPanel veröffentlichte die Notfall-Patches am 28. April, und Namecheap sowie weitere große Anbieter schlossen ihre Roll-outs in den frühen Stunden des 29. April ab. Administratoren von cPanel- oder WHM-Servern sollten umgehend prüfen, ob sie auf einem der gepatchten Builds laufen, und jeden Server, der in den Tagen vor dem Patch eine angreifbare Version mit Internetzugriff betrieben hat, als potenziell kompromittiert behandeln. cPanel hat sich nicht zu einem öffentlichen Post-Incident-Bericht verpflichtet.

Mehr davon

Ashley Madison: Sex, Lügen und der Skandal – Aufstieg und Fall der berüchtigtsten Affären-Website im Internet

Huawei präsentiert das weltweit erste kommerzielle Tri-Fold-Smartphone

Mobilspiel „Touhou Gensou Eclipse“ erhält umfangreiches Update

Satellitenvernetzter Drohnen-Einsatz macht den Notruf zur algorithmischen Entscheidung

Innovation trifft auf Tradition: Samsung präsentiert das exklusive Galaxy Z Flip6 Olympic Edition zur Pariser Olympiade 2024

Destiny 2 enthüllt Zusammenarbeit mit Lucasfilm Games in der Erweiterung Renegades