cPanel-Schwachstelle zur Umgehung der Authentifizierung (0-Day) wird aktiv ausgenutzt – PoC veröffentlicht

Laut dem offiziellen Sicherheitshinweis Versionen nach 11.40, was angesichts der dominanten Position eine enorme Angriffsfläche darstellt.

Der Fehler beinhaltet eine CRLF-Injektion, die mit einer Session-Token-Leckage verknüpft ist und es einem vorauthentifizierten Angreifer ermöglicht, ein Session-Token zu kapern, es durch den internen Cache des Servers zu propagieren und letztendlich Root-Zugriff auf WHM zu erlangen – und das alles ohne gültige Anmeldeinformationen.

Minten einer Vorauthentifizierungs-Session, um einen Basis-Session-Identifier zu erhalten

Senden einer CRLF-Injektions-Payload (Basic auth +

Senden einer CRLF-Injektions-Payload (Basic auth + no-ob Cookie), um über eine HTTP-307-Weiterleitung ein gültiges Session-Token zu lecken

Ausführen einer do_token_denied-Anfrage, um das rohe Token in den serverseitigen Cache zu propagieren

Zugriff auf /json-api/version, um Root-Zugriff auf WHM zu bestätigen, was mit einem HTTP 200 und vollständiger Versionsoffenlegung zurückkehrt Das PoC tool authbypass-RCE.py zielt auf den Port 2087 (WHM) ab und bestätigt erfolgreich die Ausnutzung bei anfälligen Instanzen, die Builds wie 11.110.0.89 und älter ausführen.

Berichten zufolge wurde die Schwachstelle vor

Berichten zufolge wurde die Schwachstelle vor etwa zwei Wochen vor der Beobachtung der öffentlichen Ausbeutung vertraulich an cPanel offengelegt. Allerdings zwangen bestätigte Angriffe in der Wildnis cPanel dazu, die Veröffentlichung , wobei die erste Warnung am 28.

April 2026 um PM CST veröffentlicht wurde. Die Warnung wurde anschließend innerhalb von mehrmals aktualisiert, um gepatchte Versionen, überarbeitete Abhilfemaßnahmen und ein Erkennungsskript zu enthalten – was die schnelle Entwicklung des Vorfalls widerspiegelt.

Mehrere globale Hosting-Anbieter hätten Berichten zufolge cPanel-basierte Control Panels als Vorsichtsmaßnahme außer Betrieb genommen, um einen massiven unbefugten Zugriff zu verhindern.

Gepatchte Versionen cPanel hat Notfall-Patches für

Gepatchte Versionen cPanel hat Notfall-Patches für die folgenden Versionen veröffentlicht:

11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54

11.130.0.19, 11.132.0.29, 11.134.0.20, 11.136.0.5 Für WP Squared (WP2) Deployments ist die gepatchte Version 136.1.7.

Sofort mit folgendem Befehl erzwingen: /scripts/upcp

Sofort mit folgendem Befehl erzwingen: /scripts/upcp --force

Die Build-Version mit /usr/local/cpanel/cpanel -V überprüfen und cpsrvd neu starten: /scripts/restartsrv_cpsrvd

Manuell gepinnten oder auto-update-deaktivierten Server aktualisieren – diese erhalten den Patch nicht automatisch und stellen in jeder Umgebung das höchste Risiko dar

Wenn ein Patching nicht sofort möglich

Wenn ein Patching nicht sofort möglich ist, eine dieser folgenden Maßnahmen ergreifen:

Den eingehenden Datenverkehr auf den Ports 2083, 2087, 2095 und 2096 auf Firewall-Ebene blockieren

Die Dienste cpsrvd und cpdavd vollständig über WHM API-Befehle stoppen Server, die veraltete cPanel-Versionen ausführen und für den aktuellen Patch nicht in Frage kommen, sollten als kompromittiert behandelt und für dringende Versions-Upgrades eskaliert werden.

Da cPanel weltweit für schätzungsweise Millionen

Da cPanel weltweit für schätzungsweise Millionen verantwortlich ist, ist der potenzielle Schaden durch CVE-2026-41940 beträchtlich.

Authentifizierungsumgehungs-Schwachstellen auf der Ebene des Kontrollpanels sind besonders gefährlich, da sie nicht nur eine einzelne Website, sondern gesamte Server-Ökosysteme, einschließlich aller gehosteten Domains, E-Mail-Konten, Datenbanken und Dateisysteme, offenlegen.

Die öffentliche Veröffentlichung eines funktionierenden PoC senkt die Hürde für die Ausbeutung erheblich, und planen, dies bald in Massen-Scanning-Kampagnen zu integrieren. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag cPanel 0-Day Authentication Bypass Vulnerability Actively Exploited in the Wild — PoC Released erschien zuerst bei Cyber Security News.