close notice This article is also available in English. It was translated with technical assistance and editorially reviewed before publication. Don’t show this again. Die Webserver- und Verwaltungssoftware cPanel und WebHost Manager (WHM) sind abermals verwundbar. Im schlimmsten Fall kann Schadcode auf Systeme gelangen und diese kompromittieren. Admins sollten die dagegen abgesicherten Ausgaben zeitnah installieren. Weiterlesen nach der Anzeige Erst kürzlich warnten die Entwickler vor einer „kritischen“ Sicherheitslücke (CVE-2026-41940), über die Angreifer ohne Anmeldung auf das Controlpanel zugreifen können. Diese Lücke nutzen Angreifer bereits aus, und in Deutschland wurden schon mehr als 4000 Instanzen attackiert. Schwachstellen schließen Die drei neuen Sicherheitslücken (CVE-2026-29202 „hoch“, CVE-2026-292203 „hoch“, CVE-2026-29201 „mittel“) sind im Sicherheitsbereich der cPanel-Website ausgelistet. Im ersten Fall werden Nutzereingaben im Kontext des create_user-Plug-ins nicht ausreichend überprüft, sodass Angreifer im Namen eines bereits authentifizierten Nutzers Schadcode auf Systeme schieben und ausführen können. Videos by heise mehr Videos c't 3003 heise & ct Peertube Durch die zweite Lücke können Angreifer aufgrund einer unsicheren Verarbeitung von Symlinks DoS-Zustände und somit Abstürze auslösen oder sicher höhere Nutzerrechte verschaffen. Im dritten Fall sind unbefugte Dateizugriffe vorstellbar. Wie diese Attacken konkret ablaufen könnten, ist bislang unklar. Für die neuen Schwachstellen hat der Softwareentwickler bislang keine Warnung vor bereits laufenden Attacken ausgesprochen. Admins sollten aber nicht zu lange warten und die zum Download stehenden Sicherheitsupdates installieren. Diese Versionen von cPanel, WHM und WP Squared sind gegen die geschilderten Attacken abgesichert: 11.136.0.911.134.0.2511.132.0.3111.130.0.2211.126.0.5811.124.0.3711.118.0.6611.110.0.11611.110.0.11711.102.0.4111.94.0.3011.86.0.4311.136.1.10 (WP Squared) (des)