Stellen Sie sich vor, jemand kennt einen einzigen Trick - und kann damit die Verwaltungskonsole von über 70 Millionen Websites weltweit übernehmen. Kein Passwort. Keine Zwei-Faktor-Authentifizierung. Nur eine manipulierte HTTP-Anfrage, und die Tür steht offen.
Genau das ist seit Februar 2026 möglich - und wurde aktiv ausgenutzt, bevor überhaupt ein Patch existierte. Die Schwachstelle heißt CVE-2026-41940. Sie betrifft cPanel und WebHost Manager (WHM), die mit Abstand meistgenutzte Hosting-Verwaltungssoftware der Welt. Und sie trägt einen CVSS-Score von 9,8 von 10 - knapp unterhalb des theoretischen Maximums.
1,5 Millionen offene Türen. 70 Millionen Domains betroffen.
Shodan-Daten zeigen rund 1,5 Millionen cPanel-Instanzen, die direkt über das Internet erreichbar sind. Die Shadowserver Foundation meldet 650.000 IP-Adressen mit exponierten Installationen. cPanel kontrolliert 94 Prozent des Markts für Hosting-Control-Panels. Und die Angreifer kannten die Lücke, bevor überhaupt ein Patch existierte.
Was cPanel ist - und warum das zählt
cPanel und WHM sind die unsichtbare Infrastruktur des Internets. Wer jemals eine Website über einen Shared-Hosting-Anbieter betrieben hat, hat wahrscheinlich cPanel benutzt - für E-Mail-Konfigurationen, Datenbankzugänge, Dateitransfers, Domainverwaltung. WHM ist die Ebene darüber: Root-Zugriff auf den gesamten Server, SSL-Zertifikate, Sicherheitsprotokolle, die Verwaltung aller Kunden-Accounts auf einmal.
watchTowr Labs, die Sicherheitsfirma, die die Schwachstelle technisch analysiert hat, trifft es treffend: Man könne sich cPanel wie die Schlüssel zum Königreich vorstellen - und WHM als die Schlüssel zu jeder einzelnen Wohnung darin. Und das Königreich ist das Internet.
Die Schwachstelle: Ein technischer Fehler mit weitreichenden Folgen
CRLF-Injection: Der manipulierte Login
CVE-2026-41940 ist technisch eine sogenannte CRLF-Injection. cPanels Daemon schreibt beim Login-Prozess eine Session-Datei auf die Festplatte, bevor die Authentifizierung abgeschlossen ist. Ein Angreifer sendet einen manipulierten Authorization-Header mit eingebetteten Zeilenumbrüchen und einem fehlerhaft gesetzten Cookie. Dadurch werden eigene Schlüssel-Wert-Paare in die Session-Datei geschrieben - unter anderem user=root, hasroot=1, tfa_verified=1. Das Ergebnis: voller Root-Zugriff auf WHM, ohne jemals ein gültiges Passwort eingegeben zu haben.
Zero-Day über Monate: Die Timeline
23. Februar 2026: Erste dokumentierte Exploit-Versuche. Mitte April: Die Schwachstelle wurde an cPanel gemeldet - die erste Reaktion des Herstellers war laut Berichten, dass kein Problem vorliege. 28. April: Patch veröffentlicht. 29. April: CISA nimmt CVE-2026-41940 in den KEV-Katalog auf. Über zwei Monate lang war die Lücke offen für jeden, der den Trick kannte.
Reale Konsequenzen: Ransomware und Notmaßnahmen
Ein kleines Unternehmen wurde nach einem Angriff über eine Standard-cPanel-Installation mit Ransomware konfrontiert. Die Angreifer forderten 7.000 US-Dollar. Namecheap sperrte vorübergehend den Zugang zu cPanel und WHM komplett - Ihr Hosting-Anbieter schließt Sie aus der eigenen Verwaltungskonsole aus, weil es zu gefährlich ist.
Was das BSI sagt
Das Bundesamt für Sicherheit in der Informationstechnik hat am 30. April 2026 eine offizielle Cybersicherheitswarnung herausgegeben. Die Behörde stellt klar: Die Schwachstelle könnte bereits seit Wochen als Zero-Day ausgenutzt worden sein. Eine Prüfung auf eine vorangegangene Kompromittierung sei daher zwingend notwendig - nicht nur ein empfohlener, optionaler Schritt. Patchen allein reicht nicht.
Die wichtigste Erkenntnis
cPanel ist kein exotischer Randfall. Es ist ein Beispiel dafür, wie weitreichend die Konsequenzen sein können, wenn zentrale Infrastruktur - auf der das Hosting-Rückgrat des Internets aufbaut - eine einzige ungepatchte Schwachstelle hat. Der Fehler selbst ist vergleichsweise einfach: eine fehlende Eingabebereinigung an einer einzelnen Stelle im Code. Die Auswirkung ist maximal.
Quellen
-
BSI - Cybersicherheitswarnung 2026-246817-1032
Offizielle Warnung des Bundesamts für Sicherheit in der Informationstechnik zu CVE-2026-41940:
bsi.bund.de - Cybersicherheitswarnung -
CISA - Known Exploited Vulnerabilities Catalog
CVE-2026-41940 aufgenommen am 29. April 2026:
cisa.gov - KEV Catalog -
NVD (NIST) - CVE-2026-41940
Nationale Schwachstellendatenbank der USA, technische Details:
nvd.nist.gov - CVE-2026-41940 -
TechCrunch: Hackers are actively exploiting a bug in cPanel
Bericht über aktive Ausnutzung der Schwachstelle, Millionen Websites betroffen:
techcrunch.com - cPanel exploit -
The Register: Critical cPanel exploited - millions of sites could be hit
Detaillierter Bericht über Ausmaß und Reaktionen der Hosting-Anbieter:
theregister.com - cPanel vulnerability -
The Register: Critical cPanel, WHM flaw probs exploited as 0-day
Erste Berichterstattung über Zero-Day-Ausnutzung:
theregister.com - cPanel 0-day -
watchTowr Labs: The Internet Is Falling Down
Technische Analyse und Proof-of-Concept zu CVE-2026-41940:
labs.watchtowr.com - cPanel Technical Analysis -
Rapid7: CVE-2026-41940 - cPanel & WHM Authentication Bypass
Bedrohungsanalyse mit Shodan-Daten zu exponierten Instanzen:
rapid7.com - cPanel Threat Analysis -
Help Net Security: cPanel zero-day exploited for months
Bericht über monatelange Zero-Day-Ausnutzung vor Patch-Veröffentlichung:
helpnetsecurity.com - cPanel Zero-Day -
Malwarebytes: Actively exploited cPanel bug exposes millions
Analyse der Auswirkungen auf Website-Betreiber und Hosting-Kunden:
malwarebytes.com - cPanel Bug Analysis -
The Hacker News: Critical cPanel Authentication Vulnerability
Zusammenfassung der Schwachstelle und ihrer Auswirkungen:
thehackernews.com - cPanel Vulnerability -
Namecheap Status: Critical Security Vulnerability with cPanel/WHM
Offizielle Mitteilung des Hosting-Anbieters zu Notmaßnahmen:
namecheap.com - Security Update