This content is protected against AI scraping.
Ein CVSS-Score von 9,8 bedeutet nur eines: Das ist keine Übung! Das ist ein Ernstfall! Die Schwachstelle (CVE-2026-41940) in cPanel ist so gravierend, dass Hacker:innen sich komplett ohne Passwort oder Anmeldung direkt in Ihr Verwaltungspanel Ihrer Website hacken können.
Das Tückische daran: Es sieht stark danach aus, dass diese Lücke schon seit Wochen als „Zero-Day“ missbraucht wurde, also lange bevor der Hersteller am 28. April 2026 überhaupt Alarm schlug.
Also: Falls Sie selbst einen Server betreiben und damit für die Adminstration zuständig sind: Nicht auf den Vorfall warten, sondern prüfen, ob bereits ungebetener Besuch da war. Es gibt mittlerweile konkrete Anleitungen vom Hersteller und von WatchTowr Labs, Sie einen unerlaubten Zugriff erkennen können. Lieber einmal zu viel kontrollieren als später böse überrascht werden.
Und: Update auf die gepatchte Version. Aber subito!
PS: Der Beitrag von WatchtowrLabs, den Entdeckern der Probleme rund um cPanel, machte Freude zu lesen. Ziemlich locker trotz der Dramatik des HighScores.
[https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/][https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026]
[https://www.virustotal.com/gui/file/2fc0a056fd4eff5d31d06c103af3298d711f33dbcd5d122cae30b571ac511e5a]
[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/2026-246817-1032_bits.html]
[https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2026/2026-246817-1032.pdf?__blob=publicationFile&v=2]
[https://www.reddit.com/r/cpanel/comments/1syyajp/comment/oiyg0fr/?rdt=55027]