„Nur mit gültigem Login“ – das klingt nach einer sicheren Grundlage. Für alle, die cPanel, WHM oder WP2 einsetzen, gilt das gerade nicht mehr. Eine kritische Authentication-Bypass-Lücke erlaubt es, die gesamte Login-Strecke zu überspringen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- WebPros cPanel & WHM und WP2 (WordPress Squared) enthalten einen Authentication Bypass in der Login-Strecke
- Unauthentifizierte Angreifer aus dem Internet können vollen Control-Panel-Zugriff erlangen
- Die Schwachstelle steht im CISA Known Exploited Vulnerabilities Catalog
- Patch ist verfügbar und sollte sofort über das Update-System von cPanel eingespielt werden
Warum diese Lücke besonders gefährlich ist
cPanel ist das meistgenutzte Webhosting-Control-Panel weltweit. Wer cPanel administriert, verwaltet DNS-Einträge, E-Mail-Accounts, Datenbankzugriffe, FTP-Zugänge und – bei WP2 – WordPress-Instanzen auf derselben Oberfläche. Ein Authentication-Bypass bedeutet: Vollzugriff auf alle diese Funktionen, ohne jemals ein Passwort eingegeben zu haben.
Für Hosting-Unternehmen und WordPress-Agenturen, die mandantenfähige cPanel-Installationen betreiben, ist das eine der kritischsten Kategorien von Lücken. Alle Kunden auf einem betroffenen Server sind exponiert. Der WordPress-Hosting-Vergleich auf Dr. Web zeigt, welche Anbieter welche Sicherheitsmechanismen im Standard mitliefern.
Authentication Bypass auf cPanel-Ebene bedeutet: Jeder, der die URL kennt, kommt rein. Das ist keine theoretische Lücke, das ist ein offenes Tor. Patchen, jetzt.“
— Michael Dobler, Herausgeber Dr. Web
Sofortmaßnahmen: Was zu tun ist
Der Patch ist über das cPanel-eigene Update-System verfügbar. Für Server mit aktiviertem Auto-Update sollte die neue Version bereits eingespielt worden sein – prüfen Sie die aktuelle Version unter WHM → cPanel/WHM Updates. Manuelle Installationen erfordern einen manuellen Update-Anstoß.
Hosting-Anbieter mit Managed-cPanel-Paketen sollten Kunden proaktiv über den Status informieren. Als weitere Maßnahme empfiehlt sich das Aktivieren von Zwei-Faktor-Authentifizierung für alle cPanel-Accounts sowie die Überprüfung der Zugriffsprotokolle auf ungewöhnliche Login-Muster der letzten 72 Stunden. Die offizielle cPanel-Sicherheitsmitteilung enthält alle technischen Details.
Mehr #cPanel News
Mehr zu WordPress-Sicherheit
Mehr Newshunger?
