← zurück zum Blog
Sicherheit

CVE-2026-29201 bis 29203: cPanel gepatcht

Drei cPanel-Sicherheitslücken (CVE-2026-29201/02/03), zwei davon kritisch (CVSS 8,8), wurden am 8. Mai 2026 mit dem Patch-Release auf allen rack::SPEED-Servern gepatcht.

rack::SPEED 08. Mai 2026 3 min Lesezeit
Symbolbild zum Sicherheits-Advisory CVE-2026-29201 bis 29203 — drei cPanel-Sicherheitslücken auf allen rack::SPEED-Servern gepatcht
Symbolbild zum Sicherheits-Advisory CVE-2026-29201 bis 29203 — drei cPanel-Sicherheitslücken auf allen rack::SPEED-Servern gepatcht

Die heute vom cPanel-Team veröffentlichten drei Sicherheitslücken CVE-2026-29201, CVE-2026-29202 und CVE-2026-29203 wurden direkt mit dem Patch-Release gegen 18 Uhr auf allen rack::SPEED cPanel-Servern eingespielt. Zwei der drei sind kritisch (CVSS 8,8), die dritte ist moderat (CVSS 4,3). Eine aktive Ausnutzung war zum Patch-Zeitpunkt für keine der Lücken bekannt.

Was die Lücken machen

Alle drei sitzen in cPanel/WHM selbst und sind mit den heute freigegebenen Stable- und LTS-Builds behoben.

  • CVE-2026-29201 (CVSS 4,3, medium) — Fehlende Eingabe-Validierung im feature::LOADFEATUREFILE-Adminbin-Call. Ein Angreifer mit Account-Zugriff kann den Feature-File-Namen so manipulieren, dass beliebige Dateien aus dem System gelesen werden — Konfigurationsdateien, hinterlegte Tokens, Logs.
  • CVE-2026-29202 (CVSS 8,8, kritisch) — Fehlende Validierung des plugin-Parameters in der create_user-API. Über einen manipulierten Plugin-Wert lässt sich beliebiger Perl-Code im Kontext des cPanel-Dienstes ausführen. Voraussetzung: Zugriff auf die WHM-Reseller-API.
  • CVE-2026-29203 (CVSS 8,8, kritisch) — Unsicheres Symlink-Handling. Lokale Angreifer können Symlinks so platzieren, dass cPanel Operationen auf Dateien außerhalb des erlaubten Pfads ausführt. Folge: Privilege Escalation oder gezielte Denial-of-Service-Effekte auf Account-Ebene.

Eine zusammenfassende Einordnung steht bei Security Affairs, die offiziellen Hersteller-Advisories liegen im cPanel-Security-Bereich.

Was wir konkret getan haben

cPanel hat die Patches um 12 Uhr EST (18 Uhr MESZ) freigegeben. Im Anschluss haben wir die neuen Builds auf allen Maschinen mit cPanel über upcp eingespielt — Roll-out im Laufe des Abends abgeschlossen. Webbetrieb und Mailfluss blieben durchgehend online, ein cPanel-Service-Restart war für das Update nicht erforderlich. Pro Maschine haben wir nach dem Upgrade kurz gegengeprüft, dass die neue Build-Version (/usr/local/cpanel/cpanel -V) korrekt aktiv ist.

Vor dem Patch haben wir die cPanel-, WHM- und Webmail-Ports auf allen Maschinen vorsorglich in der Firewall gesperrt, bis die neuen Builds aktiv waren — übliche Schutz-Reaktion bei einer offen kommunizierten Lücke. Dieselbe manuelle Sperre war bei den letzten cPanel-CVEs der vergangenen Wochen schon Standard-Ablauf, und genau aus dieser Wiederholung haben wir die Konsequenz gezogen: Seit Dienstag, dem 12. Mai 2026, 12 Uhr ist die Sperre Default. cPanel-, WHM- und Webmail-Ports sind auf allen Maschinen grundsätzlich in der Firewall zu, der Zugang läuft pro Account nach Freischaltung über das Kundencenter. Folge für die nächste Welle: die Angriffsfläche ist bereits geschlossen, bevor ein Advisory überhaupt auftaucht.

Was du selbst tun solltest

Aktiv tun musst du nichts. Wer auf einem rack::SPEED Managed-Hosting-Server liegt, hat den Patch über unsere Aktion bekommen. Wir verwalten cPanel auf allen Maschinen selbst — du musst dich um den Patch-Stand nicht kümmern.

Plesk-Server sind nicht betroffen: alle drei Lücken sitzen ausschließlich im cPanel/WHM-Code, Plesk hat eine eigene Codebasis.

Bei Rückfragen, Log-Reviews oder Patch-Hilfe erreichst du uns telefonisch unter +49 (0)2102 305 84 30 oder über das Kontaktformular. Den Live-Status pflegen wir auf der rack::SPEED Status-Page.

Sechs Sicherheits-Patches in neun Tagen — cPanel Ende April, Copy-Fail im Kernel, vier Exim-CVEs, zwei Apache-CVEs, Dirty Frag, und heute drei cPanel-CVEs. Der Mai bleibt sportlich.