Das BSI hat am 17. Mai 2026 eine Sicherheitswarnung zu zwei Schwachstellen in Webmin veröffentlicht. Eine 2FA-Umgehung via Basic-Authentifizierung und eine Privilegieneskalation über die integrierte Hilfe-Funktion treffen Linux- und UNIX-Server. CERT-Bund stuft die Lage insgesamt als kritisch ein.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Kommt Ihnen das bekannt vor? Sie haben gerade die Linux-Kernel-Patches gegen Fragnesia eingespielt, und schon liegt das nächste Sicherheitsticket auf dem Tisch. Diesmal trifft es Webmin, das modulare Web-Frontend für die Unix-Administration in vielen Hosting- und Serverumgebungen.
Das Wichtigste in Kürze
- BSI-Sicherheitswarnung vom 17. Mai 2026 zu Open Source Webmin bis Version 2.640
- CVE-2026-42210: 2FA-Bypass über HTTP-Basic-Authentifizierung
- Zweite Lücke: Privilegieneskalation über die Hilfe-Funktion erlaubt Root-Zugriff
- CVSS Base Score 9,8, CERT-Bund-Einstufung „kritisch“
Was steckt technisch hinter den Lücken?
Zwei Angriffspfade liegen vor. Bei CVE-2026-42210 lässt sich die Zwei-Faktor-Authentifizierung umgehen, wenn der Angreifer Benutzername und Passwort kennt und Basic-HTTP-Auth aktiviert ist. Die 2FA-Hürde fällt damit weg, der Login funktioniert ohne Einmalcode. Die zweite Lücke sitzt in den integrierten Hilfeseiten und erlaubt einer authentifizierten Sitzung den Sprung auf Root-Rechte. Die Webmin-Entwickler dokumentieren beide Schwachstellen im Security-Bereich. Patches stehen mit Version 2.641 bereit.
Angriffsbedingungen klingen zunächst entspannend, sind es aber nicht. Credential-Reuse und Phishing liefern Angreifern täglich frische Login-Paare. Wer auf Webmin-Instanzen 2FA als Hauptschutz konfiguriert hat, verliert genau diese zweite Verteidigungslinie. In Hosting-Umgebungen mit dutzenden Kundenzugängen vervielfacht sich das Risiko. Die Eskalation über die Hilfe-Funktion macht aus einem normalen Webmin-Login dann einen Root-Shell-Zugriff, dieselbe Klasse wie beim Fragnesia-Bug im Kernel.
Webmin sitzt in vielen Hosting-Stacks an der zentralen Schaltstelle. Ein 2FA-Bypass plus Root-Eskalation ist kein theoretisches Risiko, sondern Standard-Eintrittstor für automatisierte Angriffe.“
— Markus Seyfferth, Chefredakteur Dr. Web
Wie reagieren Server-Admins jetzt?
Sofortmaßnahme ist das Update auf Webmin 2.641. Auf Debian und Ubuntu läuft das über den Webmin-eigenen APT-Repository-Eintrag mit apt update && apt upgrade webmin. RHEL-, Rocky- und AlmaLinux-Admins ziehen über DNF nach. Sollte sich das Patch-Fenster nicht direkt öffnen, greift als Workaround die Deaktivierung der Basic-Authentifizierung in der Webmin-Konfiguration (etc/webmin/miniserv.conf: no_basic_auth=1). Damit fällt zumindest der 2FA-Bypass weg.
Hoster-Brille heißt: Massenrollout koordinieren. Wer Webmin auf hunderten Kundeninstanzen einsetzt, plant das Update im Wartungsfenster und kommuniziert es vorab. Eine Kombination mit der jüngst gepatchten Burst-Statistics-Lücke in WordPress kann auf Shared-Hosting-Maschinen verheerend werden, weil Angreifer von der WordPress-Site über die Host-Konfiguration eskalieren. Sicherheitsbewusste Hoster veröffentlichen den Patch-Status öffentlich. Für die Auswahl eines wirklich gepflegten Anbieters lohnt ein Blick in den WordPress-Hosting-Vergleich.
Mittelfristig bleibt die Frage: Brauchen Sie Webmin überhaupt? Viele Admins verwenden das Tool aus Bequemlichkeit, obwohl SSH plus Ansible oder Cockpit die Aufgaben sicherer abdecken. Eine Inventarisierung der Webmin-Instanzen mit Versionsstand gehört in den Patch-Plan dieser Woche.
Mehr zu Cybersecurity:
Cybersecurity Grundlagen: Was KMU 2026 können müssen
Cybersecurity-Glossar 2026: 99 Begriffe von BSI bis Zero Trust für Entscheider
Mehr Newshunger?
