CVE-2026-41940: Kritische Authentifizierungslücke in cPanel & WHM ermöglicht vollständige Serverübernahme
Veröffentlicht am 29. April 2026: CVE-2026-41940 (CVSS 9,8, EPSS ≥ 95. Perzentil) ermöglicht es nicht authentifizierten Angreifern, über eine fehlende Authentifizierung [CWE-306] administrativen Zugriff auf cPanel & WHM sowie WP Squared zu erlangen. Eine erfolgreiche Ausnutzung kann die Kontrolle über gehostete Websites, Datenbanken, E-Mail-Konten, das Server-Betriebssystem und dessen Konfiguration sowie benachbarte Websites in Shared-Hosting-Umgebungen ermöglichen.
CVE-2026-41940 wurde in die KEV-Liste der CISA aufgenommen und Berichten zufolge wurde die Schwachstelle bereits am 23. Februar 2026 als Zero-Day-Exploit ausgenutzt. Eine vollständige technische Analyse und ein Proof-of-Concept (PoC)-Exploit-Code wurden von watchTowr Labs veröffentlicht, und mehrere nationale CERT-Behörden haben weltweit Warnungen herausgegeben [1][2][3][4][5][6][7][8].
Die potenziellen globalen Auswirkungen von CVE-2026-41940 sind erheblich. Der Anbieter von cPanel gibt an, dass über 1,5 Millionen mit dem Internet verbundene Instanzen bestehen, was etwa 70 Millionen Domains entspricht. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Schwachstellenprüfung, die die Ausnutzbarkeit von CVE-2026-41940 in cPanel- und WHM-Instanzen direkt überprüft.
Technische Details: Wie CVE-2026-41940 funktioniert
CVE-2026-41940 ist eine Sicherheitslücke zur Umgehung der Authentifizierung [CWE-306], die durch CRLF-Injektion während des Lade- und Speichervorgangs von cPanel-Sitzungen ermöglicht wird. Eine Korruption des Sitzungsstatus ist aufgrund einer Kombination von Fehlern in der Sitzungsverarbeitungslogik von cPanel & WHM möglich. Zur Klarstellung: Bei CVE-2026-41940 handelt es sich nicht um eine einzelne fehlende Authentifizierungsprüfung. Die Schwachstelle resultiert aus mehreren strukturellen Softwarefehlern, die zu Angriffen mit relativ geringer Komplexität verkettet werden können. Die Multi-Faktor-Authentifizierung (MFA) bietet keinen Schutz vor Angriffen, die CVE-2026-41940 ausnutzen.
Die grundlegenden Schwachstellen, aus denen sich CVE-2026-41940 zusammensetzt, sind im Folgenden beschrieben:
- Eine inkonsistente Bereinigung von Sitzungsdaten wird durch einen Fehler in den Callern verursacht, die dafür zuständig sind, Daten vor dem Speichern zu bereinigen. Die Routine „filter_sessiondata“, die gefährliche Steuerzeichen entfernen soll, wurde innerhalb der Funktion „saveSession“ selbst nicht durchgesetzt. Dadurch kann der Passwortwert aus einem dekodierten „Authorization: Basic“-Header entnommen und ohne ordnungsgemäße Bereinigung in die Roh-Sitzungsdatei geschrieben werden.
- Die zweite Schwachstelle betrifft die bedingte Kodierung des Feldes „pass“ (Passwort). cPanel-Sitzungscookies enthalten eine Sitzungskennung und ein geheimes <ob>-Segment, das nach einem Komma steht. Wenn ein Angreifer jedoch eine gültige Sitzungskennung und das <ob>-Segment ohne das Komma angibt, löst der Server zwar die richtige Sitzungsdatei auf, umgeht jedoch die Verschlüsselung. Das bedeutet, dass der böswillige Passwortwert im Klartext bleibt, möglicherweise eingebettete Wagenrücklauf- oder Zeilenvorschubzeichen (CRLF) enthält und direkt in die Sitzungsdatei geschrieben wird.
- Die dritte Schwachstelle ist eine Diskrepanz zwischen dem Rohformat der Sitzungsdatei und dem JSON-Sitzungscache. cPanel verwaltet sowohl eine Schlüssel-Wert-Sitzungsdatei als auch einen identischen, JSON-serialisierten Cache. Bei der normalen Sitzungsverarbeitung wird der JSON-Cache geladen, während die injizierte CRLF-Nutzlast im Pass-String verbleibt. Ein anderer erreichbarer Pfad, Cpanel::Session::Modify, lädt jedoch explizit die Roh-Sitzungsdatei mit den vom Angreifer injizierten Zeilen und kopiert diese in den JSON-Cache, wodurch sie zu Sitzungsattributen der obersten Ebene werden.
- Der Angreifer kann Sitzungsattribute injizieren, um die Authentifizierung zu umgehen. Durch die Angabe von Werten wie hasroot=1, tfa_verified=1, user=root und successful_internal_auth_with_timestamp kann ein Angreifer eine auf Root-Ebene authentifizierte Sitzung erzwingen. Im WHM-Authentifizierungspfad umgeht ein interner oder externer Authentifizierungszeitstempel die Überprüfung gegen /etc/shadow und gibt AUTH_OK zurück.
Die administrative Weboberfläche von cPanel & WHM ermöglicht die Ausführung von Shellcode direkt über die integrierten Terminalschnittstellen: Das WHM-Terminal gewährt autorisierten Benutzern Zugriff auf die Befehlszeile im Browser. Die SSH-Zugriffsschnittstelle von cPanel ermöglicht zudem die Verwaltung des SSH-Dienstes und der authorized_keys des Servers, was bedeutet, dass ein Angreifer mit Privilegien SSH für den Fernzugriff missbrauchen kann [T1563.001].
Warum CVE-2026-41940 ein globales Sicherheitsrisiko ist
CVE-2026-41940 stellt ein schwerwiegendes globales Risiko dar, da es weit verbreitete, mit dem Internet verbundene Hosting-Infrastrukturen betrifft und einen nicht authentifizierten Fernzugriff auf Root-Ebene ermöglicht. cPanel & WHM hat eine große globale Verbreitung. Der Anbieter von cPanel gibt über 1,5 Millionen mit dem Internet verbundene Instanzen an, was etwa 70 Millionen Domains entspricht. CVE-2026-41940 wurde in die KEV-Liste der CISA aufgenommen, und Berichten zufolge wurde die Schwachstelle bereits am 23. Februar 2026 als Zero-Day-Exploit ausgenutzt. watchTower Labs hat eine vollständige technische Beschreibung und detaillierte Anweisungen zur Ausnutzung veröffentlicht, was die Wahrscheinlichkeit einer weitreichenden Kompromittierung weiter erhöht.
CVE-2026-41940 ermöglicht eine Vielzahl von Folgeangriffen, darunter:
- Diebstahl von Anmeldedaten [T1552.001]
- Persistenz [TA0003] durch den Einsatz von Web-Shells [T1505.003] oder andere Mittel
- Datenexfiltration [TA0010]
- Website-Hijacking [T1584.006]
- E-Mail-Konto-Hijacking [T1586.002] und Phishing-Angriffe [T1566]
- Website-Defacement [T1491.002]
- Malware-Hosting [T1608.001]
Die Auswirkungen sind am größten für Hosting-Anbieter, Managed-Service-Provider, Webagenturen, Reseller und Organisationen, die Shared-Hosting- oder Multi-Tenant-Hosting-Umgebungen betreiben. Eine einzige kompromittierte WHM-Administratorsitzung kann einem Angreifer Zugriff auf die Daten und E-Mail-Konten mehrerer Kunden verschaffen. Organisationen sollten jede exponierte, nicht gepatchte Instanz als potenziell kompromittiert betrachten.
CVE-2026-41940 beheben: Patches, Ports und forensische Analyse
Organisationen sollten CVE-2026-41940 als dringende Patch-Priorität behandeln und alle betroffenen cPanel- und WHM-Instanzen sowie WP Squared unverzüglich auf eine korrigierte Version aktualisieren. Alle Versionen von cPanel und WHM ab 11.40 sind betroffen. Nach dem Einspielen des Patches muss der cPanel-Dienst „cpsrvd“ neu gestartet werden. Ist ein sofortiges Patchen nicht möglich, sollte der Zugriff auf cPanel- und WHM-Schnittstellen per Firewall-Regel oder IP-Zulassungsliste eingeschränkt werden, insbesondere auf den Ports 2083, 2087, 2095 und 2096. cPanel listet die behobenen cPanel- und WHM-Versionen wie folgt auf:
- 86.0.41
- 110.0.97
- 118.0.63
- 124.0.35
- 126.0.54
- 130.0.19
- 132.0.29
- 134.0.20
- 136.0.5
WP Squared hat in Version 136.1.7 einen Fix erhalten. Da CVE-2026-41940 aktiv ausgenutzt wird, sollten Unternehmen davon ausgehen, dass über das Internet erreichbare Instanzen vor dem Patchen bereits angegriffen worden sein könnten, und eine vollständige forensische Analyse durchführen, um die Systemintegrität zu prüfen. Dazu gehört die Auswertung von Authentifizierungsprotokollen, Sitzungsaktivitäten und administrativen Änderungen auf Anzeichen unbefugten Zugriffs. Zu beachten ist jedoch, dass Angreifer mit erlangtem Root-Zugriff auch die Integrität des Betriebssystems und der Systemprotokolle nachträglich manipuliert haben könnten.
Zusammenfassung: Sofortmaßnahmen für cPanel- und WHM-Betreiber
CVE-2026-41940 ist eine kritische Authentifizierungsumgehung in cPanel & WHM sowie WP Squared, die einen nicht authentifizierten administrativen Zugriff und eine potenzielle vollständige Übernahme des Servers ermöglicht. Aktive Ausnutzung, öffentlich zugängliche Exploit-Details und eine weitreichende Verbreitung machen dies zu einem Notfall für Hosting-Anbieter weltweit. Unternehmen sollten unverzüglich Patches installieren, Dienste neu starten und betroffene Systeme auf Kompromittierung untersuchen. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Schwachstellenprüfung, die direkt die Ausnutzbarkeit von CVE-2026-41940 in cPanel- und WHM-Instanzen überprüft.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
