cPanelSniper: PoC-Exploit für cPanel-Schwachstelle enthüllt, 44.000 Server kompromittiert

Ein Angreifer kann Felder wie user=root, hasroot=1 und tfa_verified=1 direkt in die Sitzungsdatei injizieren und somit effektiv eine vollständig authentifizierte root WHM-Sitzung ohne gültige Anmeldeinformationen fälschen.

Die Schwachstelle weist einen CVSS-Score von 9,8 (Kritisch) auf und betrifft alle cPanel- und WHM-Versionen nach 11.40 sowie WP Squared (WordPress Squared) v136.1.7. cPanel gab das Problem am 28.

Stufe 1 — Prägt eine vorauthentifizierte WHM-Sitzung mithilfe absichtlich ungültiger Anmeldeinformationen und erhält ein whostmgrsession-Cookie

Stufe 2 — Injiziert eine CRLF-Payload

Stufe 2 — Injiziert eine CRLF-Payload über einen erstellten Authorization: Basic Header, wodurch cpsrvd dazu veranlasst wird, vergiftete Sitzungsfelder auf die Festplatte zu schreiben

Stufe 3 — Löst das interne do_token_denied Gadget über /scripts2/listaccts aus, flusht rohe Sitzungsdaten in den Cache und aktiviert die injizierten Felder

Stufe 4 — Überprüft den vollständigen WHM-Root-Zugriff, indem es /json-api/version abfragt, HTTP 200 zurückgibt und einen „PWNED“-Status bestätigt.

Das Tool benötigt keine externen Abhängigkeiten;

Das Tool benötigt keine externen Abhängigkeiten; es ist reines Python 3.8+ stdlib und unterstützt das Massenscannen, die Pipeline-Integration mit Tools wie Subfinder und Shodan, den interaktiven WHM-Shell-Zugriff sowie Post-Exploitation-Aktionen einschließlich Befehlsausführung, Kontenenumerierung und Erstellung.

Die Shadowserver Foundation bestätigte am 30. April 2026, dass 44.000 eindeutige IP-Adressen beobachtet wurden, die nach Opfern scannten, Exploits starteten oder Brute-Force-Angriffe gegen ihre Honeypot-Sensoren durchführten.

Achtung! cPanel/WHM CVE-2026-41940 Angriffe laufen weiter, wobei mindestens 44K IPs wahrscheinlich kompromittiert und am 2026-04-30 gesehen wurden, wie sie unsere Honeypots scannten.

Befolgen Sie die neuesten Anleitungen, um

Befolgen Sie die neuesten Anleitungen, um Kompromittierungen und Patches zu verfolgen: https://t.co/z4sRvdaBwt Sehen Sie sich das Public Dashboard für Statistiken an: https://t.co/qFz265JDIK pic.twitter.com/m1aZvFEVlU — Die Shadowserver Foundation (@Shadowserver) 1. Mai 2026 Die Ausnutzungsaktivität wurde auf mindestens den 23.

Februar 2026 zurückverfolgt, was darauf hindeutet, dass Angreifer diese Zero-Day-Schwachstelle etwa zwei Monate vor der Existenz eines Patches ausnutzten. Zu den Angriffsergebnissen gehören die Bereitstellung , die Entstellung Botnetzen.

Das Ausmaß der Exposition ist alarmierend: Ungefähr 650.000 cPanel/WHM-Instanzen sind dem Internet ausgesetzt, und über Shodan wurden ungefähr 1,5 Millionen potenziell anfällige Instanzen identifiziert. CISA hat CVE-2026-41940 am 1.

Mai 2026 in seinen Katalog der

Mai 2026 in seinen Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen.

Abhilfemaßnahmen cPanel hat Notfall-Patches für alle aktiven Branches veröffentlicht: Branch Anfällig ≤ Gepatchte Version 110.x 11.110.0.96 11.110.0.97 118.x 11.118.0.62 11.118.0.63 126.x 11.126.0.53 11.126.0.54 132.x 11.132.0.28 11.132.0.29 134.x 11.134.0.19 11.134.0.20 136.x 11.136.0.4 11.136.0.5 Administratoren sollten das Update sofort über /scripts/upcp --force durchführen, die Dienste cpsrvd und cpdavd neu starten und den eingehenden Datenverkehr auf den cPanel-Ports 2083, 2087, 2095 und 2096 an der Firewall blockieren.

Sicherheitsteams sollten die Sitzverzeichnisse auf verdächtige Sitzungsdateien mit injizierten Feldern überprüfen und vorsorglich alle administrativen Anmeldeinformationen rotieren. Sie uns auf

Kontaktieren Sie uns, um Ihre Geschichten zu präsentieren. Der Beitrag cPanelSniper – PoC Exploit Disclosed for cPanel Vulnerability, 44,000 Servers Compromised erschien zuerst auf Cyber Security News.