← zurück zum Blog
Sicherheit

CVE-2026-41940: cPanel und Webmailer sofort deaktiviert

Authentication-Bypass in cPanel/WHM (CVSS 9.8). Wir haben cPanel und alle Webmailer auf unseren Servern sofort deaktiviert, bis die Patches durch sind.

rack::SPEED 30. April 2026 3 min Lesezeit
Symbolbild zum Sicherheits-Advisory CVE-2026-41940 — Authentication-Bypass in cPanel und WHM, Webmailer-Dienste auf rack::SPEED-Servern präventiv deaktiviert
Symbolbild zum Sicherheits-Advisory CVE-2026-41940 — Authentication-Bypass in cPanel und WHM, Webmailer-Dienste auf rack::SPEED-Servern präventiv deaktiviert

Gestern Abend wurde mit CVE-2026-41940 ein Authentication-Bypass in cPanel und WHM öffentlich bekannt. Wir haben cPanel und alle Webmailer-Dienste auf unseren Managed-Hosting-Servern sofort deaktiviert, bis die Hersteller-Patches eingespielt und verifiziert sind.

Was die Lücke macht

CVE-2026-41940 ist eine Authentifizierungs-Umgehung mit CVSS 9.8 (kritisch). Über eine CRLF-Injection in der Login- und Session-Verarbeitung von cpsrvd lässt sich der whostmgrsession-Cookie so manipulieren, dass ein nicht authentifizierter Angreifer eigene Session-Dateien mit Root-Rechten ablegen kann. Betroffen sind alle aktuell unterstützten Versionen von cPanel und WHM. Erste Berichte deuten auf gezielte Ausnutzung als Zero-Day bereits seit Februar 2026 hin – also Wochen vor der öffentlichen Disclosure.

Technische Details und die Liste der gepatchten Versionen findest du im NVD-Eintrag zu CVE-2026-41940.

Was wir konkret getan haben

Gestern Abend, unmittelbar nach Bekanntwerden der Lücke, haben wir auf jeder Maschine mit cPanel zwei Maßnahmen durchgeführt:

  1. cPanel-Webdienst deaktiviert – die Admin-Oberfläche auf den Standard-Ports 2083 und 2087 ist aktuell nicht erreichbar.
  2. Webmailer deaktiviert – die mit cPanel ausgelieferten Webmail-Frontends laufen über denselben Service-Daemon und sind daher ebenfalls offline.

E-Mail-Empfang und -Versand über IMAP, POP3 und SMTP laufen unverändert weiter, genauso die gehosteten Websites selbst. Betroffen ist ausschließlich die Verwaltungs- und Webmail-Schicht. Vor unseren Servern arbeitet zusätzlich die Hardware-Firewall mit IDS/IPS – sie hat den Angriffsvektor während des Disclosure-Fensters weiter eingeengt, ist aber kein Ersatz für den Patch.

Sobald wir die Hersteller-Patches pro Maschine installiert und gegengeprüft haben, geben wir cPanel und Webmailer dort wieder frei. Den Live-Status pflegen wir auf der rack::SPEED Status-Page.

Den gleichen Reflex hatten wir schon einmal: Im Sommer 2025 haben wir auf eine andere kritische cPanel-Lücke ähnlich kompromisslos reagiert. Konsequenter Stillstand der Verwaltungs-Oberfläche schlägt bei uns immer den Versuch, eine bekannte Lücke „abzuschirmen”.

Was du selbst tun solltest

Sobald wir cPanel auf deinem Server wieder freischalten:

  • cPanel-Passwort ändern.
  • API-Tokens und SSH-Keys rotieren, die du im cPanel hinterlegt hast.
  • Webmail-Postfächer prüfen – verdächtige Weiterleitungs-Regeln, Filter oder OAuth-Apps zurücksetzen, falls du Webmail aktiv nutzt.

Wenn du eine Reseller-Umgebung oder einen eigenen Managed Server mit cPanel betreibst und Unterstützung beim Patchen, beim Log-Review oder bei der Forensik brauchst, melde dich direkt bei uns – telefonisch unter +49 (0)2102 305 84 30 oder über das Kontaktformular. Wir greifen das ohne Wartezeit auf.

Wir nehmen lieber einen kontrollierten Ausfall der Admin-Oberfläche in Kauf, als eine 9.8-Lücke offen zu lassen.