Neue Sicherheitslücken in cPanel und WHM ermöglichen Code-Ausführung und DoS-Angriffe
cPanel hat drei kritische Sicherheitslücken mit den CVE-Nummern CVE-2026-29201, CVE-2026-29202 und CVE-2026-29203 offengelegt, die das weit verbreitete Web-Hosting-Steuerungspanel cPanel & WHM sowie die Squared (WP2)-
Kurzfassung
Warum das wichtig ist
- cPanel hat drei kritische Sicherheitslücken mit den CVE-Nummern CVE-2026-29201, CVE-2026-29202 und CVE-2026-29203 offengelegt, die das weit verbreitete Web-Hosting-Steuerungspanel cPanel & WHM sowie die Squared (WP2)-
- Mai 2026 behoben und ermöglichen Serverangriffen durch beliebige Dateizugriffe, Perl-Code-Injektionen und Denial-of-Service (DoS)-Angriffe, sodass Hosting-Anbieter und Serveradministratoren eine sofortige Aktualisierung dringend benötigen.
- Im April wurde eine weitere cPanel-Schwachstelle, die als CVE-2026-41940 registriert ist, bereits in der Praxis ausgenutzt, was Angreifern ermöglichte, Authentifizierungsmechanismen vollständig zu umgehen.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
cPanel hat drei kritische Sicherheitslücken mit den CVE-Nummern CVE-2026-29201, CVE-2026-29202 und CVE-2026-29203 offengelegt, die das weit verbreitete Web-Hosting-Steuerungspanel cPanel & WHM sowie die...
Warum relevant
CVE-2026-29201: Beliebiger Dateizugriff durch Pfadtraversierung Die erste Schwachstelle befindet sich im Aufruf feature::LOADFEATUREFILE im Verzeichnis adminbin, der den Dateinamen-Parameter für Features nicht...
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
CVE-2026-29201: Beliebiger Dateizugriff durch Pfadtraversierung Die erste Schwachstelle befindet sich im Aufruf feature::LOADFEATUREFILE im Verzeichnis adminbin, der den Dateinamen-Parameter für Features nicht ausreichend validiert.
Ein Angreifer kann einen relativen Pfad als Argument übergeben, wodurch eine beliebige Datei auf dem Server für alle Benutzer lesbar wird. Dieser Typ, einschließlich Konfigurationsdateien, Anmeldedaten und private Schlüssel, freilegen und Angreifern so einen Einstiegspunkt für eine tiefere Kompromittierung bieten.
CVE-2026-29202: Perl-Code-Injection im User-Creation-API. Der zweite und schwerwiegendste Fehler ist eine Perl-Code-Injection-Schwachstelle, die in der create_user-API-Aufruf entdeckt wurde und speziell mit dem Parameter plugin zusammenhängt.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/cpanel-and-whm-flaws/
- Quell-URL
- https://cybersecuritynews.com/cpanel-and-whm-flaws/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Epic Games verliert legendären Designer während der Entwicklung der KI-zentrierten Unreal Engine 6
Epic Games plant mit der Unreal Engine 6 die Integration fortschrittlicher KI-Modelle wie Claude und Gemini sowie den Rückzug etablierter Systeme wie Blueprints, was in der Branche erhebliche Besorgnisse über Arbeitsplatzverluste und einen notwendigen Anpassungsprozess auslöst. Zudem verließ der seit 12 Jahren im Unternehmen tätige Level-Design-Legende Sjoerd Hourences de Jong sein Amt, was Beobachter als bemerkenswerter Hinweis auf die neuen KI-zentrierten Strategien werten, obwohl eine direkte Verbindung offiziell noch nicht bestätigt wurde.
22.06.2026
