← zurück zum Blog
Sicherheit

CVE-2026-29204: WHMCS-Patch vorgezogen, sofort installiert

Die WHMCS-Client-Area-Lücke CVE-2026-29204 wurde in der Nacht zum 13. Mai 2026 vorgezogen veröffentlicht — Patch direkt auf unserem Kundencenter eingespielt.

rack::SPEED 13. Mai 2026 3 min Lesezeit
Symbolbild zum Sicherheits-Advisory CVE-2026-29204 — WHMCS-Client-Area-Autorisierungslücke auf dem rack::SPEED Kundencenter direkt nach vorgezogenem Release gepatcht
Symbolbild zum Sicherheits-Advisory CVE-2026-29204 — WHMCS-Client-Area-Autorisierungslücke auf dem rack::SPEED Kundencenter direkt nach vorgezogenem Release gepatcht

In der Nacht zum 13. Mai 2026 hat WHMCS die Sicherheitslücke CVE-2026-29204 vorgezogen veröffentlicht — ursprünglich war das Update für den heutigen Abend angekündigt, der Patch kam aber bereits in den frühen Morgenstunden raus. Unser Kundencenter läuft auf WHMCS, wir haben mit dem Release direkt auf die gepatchte Version aktualisiert.

Was die Lücke macht

CVE-2026-29204 ist eine Autorisierungs-Lücke in der WHMCS-Client-Area. Über unzureichende Berechtigungs-Prüfungen konnte ein bereits angemeldeter Nutzer auf Dienste fremder Accounts zugreifen und sie verwalten — fremde Hosting-Verträge sehen, Aktionen in einem nicht zugehörigen Account-Kontext auslösen, Single-Sign-On-Sprünge in fremde Bereiche. Voraussetzung war eine gültige, authentifizierte WHMCS-Session — die Lücke ist nicht ohne Login von außen ausnutzbar. Einen CVSS-Score hat WHMCS bislang nicht öffentlich genannt.

Betroffen sind WHMCS 9.x vor 9.0.4, WHMCS 8.x vor 8.13.3 sowie WHMCS 7.x ab Version 7.4.0. Behoben in 9.0.4 und 8.13.3. Die offiziellen Patch-Hinweise stehen direkt im WHMCS-Security-Bereich.

Was wir konkret getan haben

WHMCS hatte das Update für den heutigen Abend angekündigt — kam aber bereits in der vorhergehenden Nacht. Wir haben mit der Veröffentlichung sofort reagiert und unser Kundencenter auf die gepatchte Version aktualisiert. Roll-out abgeschlossen kurz nach Release; Login und Bestellprozess waren während des Upgrade-Fensters kurz nicht erreichbar, typischerweise unter zwei Minuten.

Im Anschluss haben wir den WHMCS-Activity-Log auf unerwartete Single-Sign-On- oder Service-Access-Events mit kontext-fremden Account-IDs durchgesehen — das ist die offizielle Restrisiko-Prüfung, die WHMCS gemeinsam mit dem Advisory empfiehlt. Keine Auffälligkeiten gefunden.

Was du selbst tun solltest

Wenn du nur Kunde unseres Kundencenters bist, musst du nichts tun. Wir haben das Update zentral installiert, deine Daten bleiben unverändert, kein Passwort-Reset nötig.

Wenn du eine eigene WHMCS-Installation auf einem rack::SPEED Managed Server betreibst — etwa als Reseller oder Agentur für deine eigenen Kunden — solltest du aktiv werden: Update auf WHMCS 9.0.4 (oder 8.13.3 für die 8.x-Linie) und danach den Activity-Log auf verdächtige Account-Zugriffe seit Veröffentlichung der Lücke prüfen. Bei Unterstützung beim Patch oder beim Log-Review melde dich über das Kontaktformular oder telefonisch unter +49 (0)2102 305 84 30.

Den Live-Status pflegen wir auf der rack::SPEED Status-Page.

Sieben Patches in knapp zwei Wochen — drei cPanel-CVEs vor fünf Tagen, davor Dirty Frag, Apache und Exim, heute WHMCS. Der Mai schreibt sich selbst in den Patch-Kalender.