Die cPanel Sicherheitslücke mit der Kennung CVE-2026-41940 hat es jetzt offiziell in den Known-Exploited-Vulnerabilities-Katalog der CISA geschafft. Wann haben Sie zuletzt geprüft, welche Version Ihr Hoster im WHM laufen hat? Genau diese Frage entscheidet, ob Ihr Webhosting-Stack im Mai 2026 zum Pflichtthema oder zum Tagebucheintrag wird.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-41940 erlaubt Authentifizierungs-Umgehung im cPanel- und WHM-Login
- Aufnahme in den CISA-KEV-Katalog dokumentiert aktive Ausnutzung
- Betroffen sind WebPros-Produkte cPanel, WHM und WP2 (WordPress Squared)
- Mittelstand-Hosting, Reseller und Agentur-Server stehen direkt im Fadenkreuz
Was macht die WebPros-Lücke so gefährlich?
Die Schwere der Lücke liegt im Angriffspunkt. Eine fehlende Authentifizierung für eine kritische Funktion im Login-Flow erlaubt nicht authentifizierten Angreifern, sich am Control Panel anzumelden, ohne Zugangsdaten zu kennen. Ab dort sind Webspace, Datenbanken und E-Mail-Konten kompromittiert. Den Eintrag in den CISA-KEV-Katalog kann jeder Administrator selbst nachschlagen.
Die Reichweite ist gewaltig. cPanel und WHM stecken in unzähligen Shared-Hosting-Paketen, in Resellern und in vielen deutschen KMU-Server-Setups. Ein erfolgreicher Login öffnet nicht nur die einzelne Domain, sondern in vielen Konfigurationen alle Sites auf demselben Server. Genau dieser Multiplikator macht die Lücke zur Angriffsfläche der Saison.
Eine Authentifizierungs-Lücke im Hosting-Panel ist nie nur ein Hoster-Problem. Wer eine eigene Domain bei einem cPanel-Anbieter betreibt, sitzt automatisch mit am Tisch und sollte die nächsten 72 Stunden für die Inventur einplanen.
— Michael Dobler, Herausgeber Dr. Web
Wie reagieren Sie als Site-Betreiber?
Die erste Pflicht ist ein Anruf beim Hoster. Klären Sie, welche cPanel-Version aktuell läuft und wann der Sicherheitspatch eingespielt wurde. Seriöse Hoster patchen innerhalb weniger Stunden nach Veröffentlichung und melden das aktiv an ihre Kunden. Wer zwei Wochen nach KEV-Aufnahme noch keine Information bekommen hat, sollte hellhörig werden.
Die zweite Pflicht ist eine Login-Hygiene am eigenen Account. Passwörter rotieren, Zwei-Faktor-Authentifizierung aktivieren, vergessene API-Tokens widerrufen und Anmeldungen der letzten vier Wochen prüfen. Wer eine WordPress-Installation auf einem solchen Hosting-Paket betreibt, kombiniert das mit einer Backup-Strategie nach 3-2-1-Regel. Die Grundlagen dazu liefert der Cybersecurity-Grundlagen-Ratgeber, das Vokabular dazu klärt das Cybersecurity-Glossar.
Lesetipp: Medienrecht 2026: Der praktische Überblick für Geschäftsführer und Webverantwortliche
Welche Mittelstands-Konsequenz lohnt sich jetzt?
Die Compliance-Ebene rückt schnell näher. Ab dem 11. September 2026 greift die CRA-Meldepflicht, die aktiv ausgenutzte Schwachstellen binnen 24 Stunden an ENISA verlangt. Ein gehacktes Hosting-Konto reicht künftig aus, um Meldepflichten auszulösen. Wer Vorfälle nicht innerhalb eines Tages dokumentiert, riskiert Bußgelder im sechsstelligen Bereich.
Die Handlungsempfehlung bleibt schlicht. Heute Patch-Status klären, morgen Zugänge härten, in der kommenden Woche einen Incident-Response-Plan für genau dieses Szenario aufsetzen. Ergänzend hilft der Blick auf den BSI-Cybermonitor 2026, der zeigt, wie schnell sich solche Lücken im KMU-Alltag in echte Schäden verwandeln. Ein zusätzlicher Hebel liegt in der KI-gestützten Mailfilterung gegen begleitende Phishing-Wellen, wie sie im KnowBe4-Report 2026 dokumentiert ist.
Mehr Newshunger?
