CVE-2026-41940: Kritische Authentifizierungslücke in cPanel & WHM ermöglicht vollständige Serverübernahme
Update
18. Mai 2026
In cPanel & WHM wurden drei weitere CVEs entdeckt, die es Angreifern ermöglichen könnten, Dateien auszulesen, beliebigen Code auszuführen oder auf nicht gepatchten Systemen Berechtigungen zu erweitern. Die Probleme wurden in den cPanel & WHM-Versionen 11.136.0.9, 11.134.0.25, 11.132.0.31 und WP Squared behoben. Der OPENVAS ENTERPRISE FEED von Greenbone versorgt Nutzer mit Warnmeldungen zu neuen Bedrohungen, einschließlich der Erkennung aller drei neuen CVEs. Die CVEs werden im Folgenden beschrieben:
- • CVE-2026-29202 CVSS 8.8: Der Parameter plugin im Plugin create_user validiert Eingaben nicht ausreichend, wodurch ein authentifizierter Benutzer beliebigen Perl-Code ausführen kann. Eine vollständige Liste der betroffenen und gepatchten Versionen finden Sie in der offiziellen Herstellerempfehlung.
- • CVE-2026-29203 CVSS 8.8: Der chmod-Befehl in der Funktion Cpanel::Nova::Connector des cPanel-Plugins Nova folgt Symlinks. Wenn ein authentifizierter Benutzer einen Symlink in einem benutzergesteuerten Legacy-Nova-Pfad innerhalb seines Home-Verzeichnisses platziert, ermöglicht die Schwachstelle die Ausführung von Dateien mit Root-Rechten. Eine vollständige Liste der betroffenen und gepatchten Versionen finden Sie im offiziellen Hersteller-Hinweis.
- • CVE-2026-29201 CVSS 8.6: Eine unzureichende Eingabevalidierung des Feature-Dateinamens im Adminbin-Aufruf feature::LOADFEATUREFILE kann das Auslesen beliebiger Dateien ermöglichen, wenn ein relativer Dateipfad übergeben wird. Eine vollständige Liste der betroffenen und gepatchten Versionen finden Sie im offiziellen Hersteller-Hinweis.
Es gibt keine Hinweise auf eine aktive Ausnutzung der neuen CVEs. Vollständige technische Beschreibungen und PoC-Exploits sind nicht verfügbar. Es wurden mehrere nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6].
Update
7. Mai 2026
Es wurden weitere Angriffe mit CVE-2026-41940 dokumentiert, die sich gegen Ziele aus den Bereichen Regierung, Militär, MSP und Hosting richten.
Am 2. Mai 2026 wurde ein Bedrohungsakteur dokumentiert, der südostasiatische Regierungs- und Militäreinrichtungen auf den Philippinen und in Laos sowie verteidigungsbezogene Organisationen und MSPs und Hosting-Anbieter auf den Philippinen, in Laos, Kanada, Südafrika und den Vereinigten Staaten ins Visier nahm. Dabei wurde verstärkt auf öffentlich verfügbaren Proof-of-Concept-Exploit-Code für CVE-2026-41940 zurückgegriffen, darunter watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py und check_session.py. Zu den beobachteten Aktivitäten gehörten die Erstellung von präparierten systemd-Diensten zur Persistenz [T1543.002], die Installation von Reverse-Shells [T1059.004] für die Fernsteuerung (C2) [TA0011], die Änderung von Benutzerkennwörtern [T1098] in „toor“ und vieles mehr.
Ein separates öffentliches Exploit-Framework, cPanelSniper, wurde ebenfalls für CVE-2026-41940 veröffentlicht. Das Tool automatisiert den Auth-Bypass-Angriff und unterstützt Massenexploitation, Kontenaufzählung, RCE sowie Aktivitäten nach der Ausnutzung. Öffentliche Berichte weisen auf groß angelegte Scans, den Einsatz des Mirai-Botnetzes und Ransomware-Angriffe hin.
Veröffentlicht am 29. April 2026: CVE-2026-41940 (CVSS 9,8, EPSS ≥ 95. Perzentil) ermöglicht es nicht authentifizierten Angreifern, über eine fehlende Authentifizierung [CWE-306] administrativen Zugriff auf cPanel & WHM sowie WP Squared zu erlangen. Eine erfolgreiche Ausnutzung kann die Kontrolle über gehostete Websites, Datenbanken, E-Mail-Konten, das Server-Betriebssystem und dessen Konfiguration sowie benachbarte Websites in Shared-Hosting-Umgebungen ermöglichen.
CVE-2026-41940 wurde in die KEV-Liste der CISA aufgenommen und Berichten zufolge wurde die Schwachstelle bereits am 23. Februar 2026 als Zero-Day-Exploit ausgenutzt. Eine vollständige technische Analyse und ein Proof-of-Concept (PoC)-Exploit-Code wurden von watchTowr Labs veröffentlicht, und mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [1][2][3][4][5][6][7][8].
Die potenziellen globalen Auswirkungen von CVE-2026-41940 sind erheblich. Der Anbieter von cPanel gibt an, dass über 1,5 Millionen mit dem Internet verbundene Instanzen bestehen, was etwa 70 Millionen Domains entspricht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Schwachstellenprüfung, die die Ausnutzbarkeit von CVE-2026-41940 in cPanel- und WHM-Instanzen direkt überprüft.
Technische Details: Wie CVE-2026-41940 funktioniert
CVE-2026-41940 ist eine Sicherheitslücke zur Umgehung der Authentifizierung [CWE-306], die durch CRLF-Injektion während des Lade- und Speichervorgangs von cPanel-Sitzungen ermöglicht wird. Eine Korruption des Sitzungsstatus ist aufgrund einer Kombination von Fehlern in der Sitzungsverarbeitungslogik von cPanel & WHM möglich. Zur Klarstellung: Bei CVE-2026-41940 handelt es sich nicht um eine einzelne fehlende Authentifizierungsprüfung. Die Schwachstelle resultiert aus mehreren strukturellen Softwarefehlern, die zu Angriffen mit relativ geringer Komplexität verkettet werden können. Die Multi-Faktor-Authentifizierung (MFA) bietet keinen Schutz vor Angriffen, die CVE-2026-41940 ausnutzen.
Die grundlegenden Schwachstellen, aus denen sich CVE-2026-41940 zusammensetzt, sind im Folgenden beschrieben:
- Eine inkonsistente Bereinigung von Sitzungsdaten wird durch einen Fehler in den Callern verursacht, die dafür zuständig sind, Daten vor dem Speichern zu bereinigen. Die Routine „filter_sessiondata“, die gefährliche Steuerzeichen entfernen soll, wurde innerhalb der Funktion „saveSession“ selbst nicht durchgesetzt. Dadurch kann der Passwortwert aus einem dekodierten „Authorization: Basic“-Header entnommen und ohne ordnungsgemäße Bereinigung in die Roh-Sitzungsdatei geschrieben werden.
- Die zweite Schwachstelle betrifft die bedingte Kodierung des Feldes „pass“ (Passwort). cPanel-Sitzungscookies enthalten eine Sitzungskennung und ein geheimes <ob>-Segment, das nach einem Komma steht. Wenn ein Angreifer jedoch eine gültige Sitzungskennung und das <ob>-Segment ohne das Komma angibt, löst der Server zwar die richtige Sitzungsdatei auf, umgeht jedoch die Verschlüsselung. Das bedeutet, dass der böswillige Passwortwert im Klartext bleibt, möglicherweise eingebettete Wagenrücklauf- oder Zeilenvorschubzeichen (CRLF) enthält und direkt in die Sitzungsdatei geschrieben wird.
- Die dritte Schwachstelle ist eine Diskrepanz zwischen dem Rohformat der Sitzungsdatei und dem JSON-Sitzungscache. cPanel verwaltet sowohl eine Schlüssel-Wert-Sitzungsdatei als auch einen identischen, JSON-serialisierten Cache. Bei der normalen Sitzungsverarbeitung wird der JSON-Cache geladen, während die injizierte CRLF-Nutzlast im Pass-String verbleibt. Ein anderer erreichbarer Pfad, Cpanel::Session::Modify, lädt jedoch explizit die Roh-Sitzungsdatei mit den vom Angreifer injizierten Zeilen und kopiert diese in den JSON-Cache, wodurch sie zu Sitzungsattributen der obersten Ebene werden.
- Der Angreifer kann Sitzungsattribute injizieren, um die Authentifizierung zu umgehen. Durch die Angabe von Werten wie hasroot=1, tfa_verified=1, user=root und successful_internal_auth_with_timestamp kann ein Angreifer eine auf Root-Ebene authentifizierte Sitzung erzwingen. Im WHM-Authentifizierungspfad umgeht ein interner oder externer Authentifizierungszeitstempel die Überprüfung gegen /etc/shadow und gibt AUTH_OK zurück.
Die administrative Weboberfläche von cPanel & WHM ermöglicht die Ausführung von Shellcode direkt über die integrierten Terminalschnittstellen: Das WHM-Terminal gewährt autorisierten Benutzern Zugriff auf die Befehlszeile im Browser. Die SSH-Zugriffsschnittstelle von cPanel ermöglicht zudem die Verwaltung des SSH-Dienstes und der authorized_keys des Servers, was bedeutet, dass ein Angreifer mit Privilegien SSH für den Fernzugriff missbrauchen kann [T1563.001].
Warum CVE-2026-41940 ein globales Sicherheitsrisiko ist
CVE-2026-41940 stellt ein schwerwiegendes globales Risiko dar, da es weit verbreitete, mit dem Internet verbundene Hosting-Infrastrukturen betrifft und einen nicht authentifizierten Fernzugriff auf Root-Ebene ermöglicht. cPanel & WHM hat eine große globale Verbreitung. Der Anbieter von cPanel gibt über 1,5 Millionen mit dem Internet verbundene Instanzen an, was etwa 70 Millionen Domains entspricht. CVE-2026-41940 wurde in die KEV-Liste der CISA aufgenommen, und Berichten zufolge wurde die Schwachstelle bereits am 23. Februar 2026 als Zero-Day-Exploit ausgenutzt. watchTower Labs hat eine vollständige technische Beschreibung und detaillierte Anweisungen zur Ausnutzung veröffentlicht, was die Wahrscheinlichkeit einer weitreichenden Kompromittierung weiter erhöht.
CVE-2026-41940 ermöglicht eine Vielzahl von Folgeangriffen, darunter:
- Diebstahl von Anmeldedaten [T1552.001]
- Persistenz [TA0003] durch den Einsatz von Web-Shells [T1505.003] oder andere Mittel
- Datenexfiltration [TA0010]
- Website-Hijacking [T1584.006]
- E-Mail-Konto-Hijacking [T1586.002] und Phishing-Angriffe [T1566]
- Website-Defacement [T1491.002]
- Malware-Hosting [T1608.001]
Die Auswirkungen sind am größten für Hosting-Anbieter, Managed-Service-Provider, Webagenturen, Reseller und Organisationen, die Shared-Hosting- oder Multi-Tenant-Hosting-Umgebungen betreiben. Eine einzige kompromittierte WHM-Administratorsitzung kann einem Angreifer Zugriff auf die Daten und E-Mail-Konten mehrerer Kunden verschaffen. Organisationen sollten jede exponierte, nicht gepatchte Instanz als potenziell kompromittiert betrachten.
CVE-2026-41940 beheben: Patches, Ports und forensische Analyse
Organisationen sollten CVE-2026-41940 als dringende Patch-Priorität behandeln und alle betroffenen cPanel- und WHM-Instanzen sowie WP Squared unverzüglich auf eine korrigierte Version aktualisieren. Alle Versionen von cPanel und WHM ab 11.40 sind betroffen. Nach dem Einspielen des Patches muss der cPanel-Dienst „cpsrvd“ neu gestartet werden. Ist ein sofortiges Patchen nicht möglich, sollte der Zugriff auf cPanel- und WHM-Schnittstellen per Firewall-Regel oder IP-Zulassungsliste eingeschränkt werden, insbesondere auf den Ports 2083, 2087, 2095 und 2096. cPanel listet die behobenen cPanel- und WHM-Versionen wie folgt auf:
- 86.0.41
- 110.0.97
- 118.0.63
- 124.0.35
- 126.0.54
- 130.0.19
- 132.0.29
- 134.0.20
- 136.0.5
WP Squared hat in Version 136.1.7 einen Fix erhalten. Da CVE-2026-41940 aktiv ausgenutzt wird, sollten Unternehmen davon ausgehen, dass über das Internet erreichbare Instanzen vor dem Patchen bereits angegriffen worden sein könnten, und eine vollständige forensische Analyse durchführen, um die Systemintegrität zu prüfen. Dazu gehört die Auswertung von Authentifizierungsprotokollen, Sitzungsaktivitäten und administrativen Änderungen auf Anzeichen unbefugten Zugriffs. Zu beachten ist jedoch, dass Angreifer mit erlangtem Root-Zugriff auch die Integrität des Betriebssystems und der Systemprotokolle nachträglich manipuliert haben könnten.
Zusammenfassung: Sofortmaßnahmen für cPanel- und WHM-Betreiber
CVE-2026-41940 ist eine kritische Authentifizierungsumgehung in cPanel & WHM sowie WP Squared, die einen nicht authentifizierten administrativen Zugriff und eine potenzielle vollständige Übernahme des Servers ermöglicht. Aktive Ausnutzung, öffentlich zugängliche Exploit-Details und eine weitreichende Verbreitung machen dies zu einem Notfall für Hosting-Anbieter weltweit. Unternehmen sollten unverzüglich Patches installieren, Dienste neu starten und betroffene Systeme auf Kompromittierung untersuchen. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Schwachstellenprüfung, die direkt die Ausnutzbarkeit von CVE-2026-41940 in cPanel- und WHM-Instanzen überprüft.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
