Kritische Sicherheitslücke in cPanel/WHM

Das BSI veröffentlichte am 30. April einen BSI-IT-Sicherheitshinweis zur kritischen Schwachstelle CVE-2026-41940 (EUVD-2026-26246). CVE-2026-41940 mit einem CVSS-Score von 9.8/10 erlaubt Angreifenden, sich unberechtigten Zugriff auf das Control Panel zu verschaffen. Laut verschiedenen Medien sei die Schwachstelle bereits seit einigen Wochen ausgenutzt worden.

Die Sicherheitslücke betrifft alle Versionen der cPanel-Software inklusive DNSOnly nach der Version 11.40 und vor den gepatchten Versionen. Patches für cPanel, WebHost Manager (WHM) sowie WP Squared (WP2) stehen zur Verfügung. Die Verweise hierzu sowie eine Liste aller abgesicherter Versionen finden Sie im unten verlinkten BSI-IT-Sicherheitshinweis.

• Installieren Sie umgehend und je nach Konfiguration die passende abgesicherte Version von cPanel/WHM oder WP2.
• Prüfen Sie Ihre Systeme auf Anzeichen einer Kompromittierung. Nutzen Sie hierfür die im BSI-IT-Sicherheitshinweis verlinkten Kompromittierungsindikatoren (Indicators of Compromise: IoC).