Sicherheitspatch: Abermals Sicherheitslücken in cPanel und WHM geschlossen

Die Webserver- und Verwaltungssoftware cPanel und WebHost Manager (WHM) sind abermals verwundbar. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese kompromittieren. Admins sollten die dagegen abgesicherten Ausgaben zeitnah installieren.

Erst kürzlich warnten die Entwickler vor einer „kritischen“ Sicherheitslücke (CVE-2026-41940), über die Angreifer ohne Anmeldung auf das Controlpanel zugreifen können. Diese Lücke nutzen Angreifer bereits aus, und in Deutschland wurden schon mehr als 4000 Instanzen attackiert.

Schwachstellen schließen

Die drei neuen Sicherheitslücken (CVE-2026-29202 „hoch“, CVE-2026-292203 „hoch“, CVE-2026-29201 „mittel“) sind im Sicherheitsbereich der cPanel-Website ausgelistet. Im ersten Fall werden Nutzereingaben im Kontext des create_user-Plug-ins nicht ausreichend überprüft, sodass Angreifer im Namen eines bereits authentifizierten Nutzers Schadcode auf Systeme schieben und ausführen können.

Durch die zweite Lücke können Angreifer aufgrund einer unsicheren Verarbeitung von Symlinks DoS-Zustände und somit Abstürze auslösen oder sicher höhere Nutzerrechte verschaffen. Im dritten Fall sind unbefugte Dateizugriffe vorstellbar. Wie diese Attacken konkret ablaufen könnten, ist bislang unklar.

Für die neuen Schwachstellen hat der Softwareentwickler bislang keine Warnung vor bereits laufenden Attacken ausgesprochen. Admins sollten aber nicht zu lange warten und die zum Download stehenden Sicherheitsupdates installieren. Diese Versionen von cPanel, WHM und WP Squared sind gegen die geschilderten Attacken abgesichert:

• 11.136.0.9
• 11.134.0.25
• 11.132.0.31
• 11.130.0.22
• 11.126.0.58
• 11.124.0.37
• 11.118.0.66
• 11.110.0.116
• 11.110.0.117
• 11.102.0.41
• 11.94.0.30
• 11.86.0.43
• 11.136.1.10 (WP Squared)

(des)