News
Kritische Sicherheitslücke in cPanel: Auth-Bypass CVE-2026-41940
Die Schlüssel zum Königreich
watchTowr Labs hat eine kritische Authentifizierungs-Lücke in cPanel & WHM offengelegt. CVE-2026-41940 betrifft alle aktuell unterstützten Versionen des Control-Panels, der laut Schätzungen über 70 Millionen Domains verwaltet.
Die Schwachstelle befindet sich im Session-Loading- und Saving-Mechanismus. Angreifer können sich ohne gültige Credentials authentifizieren. Noch alarmierender: KnownHost bestätigte aktive Zero-Day-Exploits in der Wildnis. Die Angreifer haben diese Lücke bereits genutzt, um die Verwaltungsebene eines signifikanten Teils des Internets anzugreifen.
cPanel empfiehlt ein sofortiges Update auf: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 oder 11.136.0.5. Die Patch-Analyse zeigt neue Validierungsfunktionen, die CR/LF-Zeichen aus Session-Daten filtern und eine hexadezimale Kodierung für Passwörter einführen, wenn kein Objekt-Schlüssel existiert.