CVE-2026-29205/29206 und 32991 bis 32993: cPanel gepatcht

Das cPanel-Team hat heute fünf weitere Sicherheitslücken bekanntgegeben — CVE-2026-29205, CVE-2026-29206, CVE-2026-32991, CVE-2026-32992 und CVE-2026-32993. Drei davon sind hoch eingestuft (CVSS bis 8,6), zwei mittel. Wir haben die zugehörigen Builds noch am selben Tag auf allen rack::SPEED cPanel-Servern eingespielt — unterbrechungsfrei, ohne Reboot, ohne Service-Restart. Eine aktive Ausnutzung war zum Patch-Zeitpunkt für keine der fünf Lücken bekannt.

Was die Lücken machen

Alle fünf sitzen in cPanel/WHM selbst und sind mit den heute freigegebenen Stable- und LTS-Builds behoben.

• CVE-2026-29205 (CVSS 8,6, hoch) — Ausführung mit überflüssigen Privilegien in einer cPanel-Komponente. Ein Angreifer mit eingeschränktem Account-Zugriff kann Operationen anstoßen, die mit höheren Rechten als nötig laufen — typische Eskalations-Kette.
• CVE-2026-29206 (CVSS 8,1, hoch) — SQL-Injection im sqloptimizer-Hilfsskript. Wenn Slow-Query-Logging aktiv ist, lassen sich SQL-Statements im Kontext des root-Users absetzen. Auf rack::SPEED-cPanel-Maschinen ist Slow-Query-Logging im Default nicht eingeschaltet — dort, wo es auf Kundenwunsch aktiv ist, hat das Update die Lücke geschlossen.
• CVE-2026-32991 (CVSS 7,1, hoch) — Fehlerhafte Berechtigungs-Prüfungen im Team-Modul. Ein Team-Mitglied kann sich auf den Team-Owner-Account hochziehen und damit alle Rechte des Account-Inhabers übernehmen.
• CVE-2026-32992 (medium) — Im DNS-Cluster-Subsystem war die SSL-Verifikation deaktiviert. Ein Angreifer mit Zugriff auf den Netzwerk-Pfad zwischen Cluster-Knoten könnte sich als legitimer Cluster-Partner ausgeben und Credentials abgreifen (Man-in-the-Middle).
• CVE-2026-32993 (CVSS 8,3, hoch) — Mangelnde Sanitisierung des status-Parameters am /unprotected/nova_error-Endpoint. Ein nicht authentifizierter Angreifer kann beliebige HTTP-Header in die Response injizieren — Grundlage für Response-Splitting, Cache-Poisoning oder Phishing-Vorlagen.

Die offiziellen Hersteller-Advisories liegen im cPanel-Security-Bereich.

Was wir konkret getan haben

Die neuen Builds wurden im Laufe des Tages über upcp auf allen Maschinen mit cPanel ausgerollt. Webbetrieb und Mailfluss blieben durchgehend online, ein cPanel-Service-Restart war für das Update nicht erforderlich. Pro Maschine haben wir nach dem Upgrade gegengeprüft, dass die neue Build-Version (/usr/local/cpanel/cpanel -V) korrekt aktiv ist.

Die Default-Firewall-Sperre für cPanel-, WHM- und Webmail-Ports, die wir seit dem 12. Mai 2026 standardmäßig auf allen Maschinen fahren, hat hier erneut den Effekt gehabt, den wir uns davon erhofft haben: die externen Angriffsflächen für 32993 (Header-Injection ohne Auth) und 32991 (Team-Modul) waren auf rack::SPEED-Servern bereits geschlossen, bevor das heutige Advisory veröffentlicht wurde. Der Zugang läuft pro Account nach Freischaltung über das Kundencenter.

Was du selbst tun solltest

Aktiv tun musst du nichts. Wer auf einem rack::SPEED Managed-Hosting-Server liegt, hat den Patch über unsere Aktion bekommen. Wir verwalten cPanel auf allen Maschinen selbst — du musst dich um den Patch-Stand nicht kümmern.

Plesk-Server sind nicht betroffen: alle fünf Lücken sitzen ausschließlich im cPanel/WHM-Code, Plesk hat eine eigene Codebasis. Wer eigene Team-Setups in cPanel pflegt und sicherheitshalber die Mitglieder-Berechtigungen einmal gegenprüfen möchte, findet die Übersicht im cPanel-Account unter „Team Manager” — Pflicht ist das nicht, aber wegen 32991 eine sinnvolle Routine-Kontrolle.

Bei Rückfragen, Log-Reviews oder Patch-Hilfe erreichst du uns telefonisch unter +49 (0)2102 305 84 30 oder über das Kontaktformular. Den Live-Status pflegen wir auf der rack::SPEED Status-Page.

Fünf cPanel-CVEs in einer Welle, fünf Tage nach den letzten drei. Der Mai bleibt sportlich — die Patch-Pipeline auch.