Sicherheitsforscher schlagen Alarm – und nicht den lustigen, Party-Alarm – wegen einer frisch entdeckten Sicherheitslücke in cPanel und WebHost Manager (WHM), der Webserver-Management-Software, die ungefähr eine Milliarde Websites betreibt (okay, zig Millionen). Der Bug, offiziell als CVE-2026-41940 geführt, erlaubt es Hackern, direkt am Login-Bildschirm vorbeizutanzen und die volle Kontrolle über betroffene Server zu übernehmen – wie eine digitale Version, wenn man die Haustür offen lässt mit einem Neon-Schild „Gratis-Zeug“.

cPanel und WHM sind die unbesungenen Helden des Webhostings, die alles von Site-Konfigurationen über E-Mail-Verwaltung bis hin zu Datenbank-Wartung erledigen – im Grunde die digitale Klempnerei, die Internet-Domains vor Überschwemmungen bewahrt. Da diese Suiten tiefen, uneingeschränkten Zugriff auf die von ihnen verwalteten Server haben, bedeutet ein erfolgreicher Hack, dass Angreifer durch alle Daten stöbern können wie ein neugieriger Nachbar auf einem Garagenflohmarkt.

Viele kommerzielle Webhosting-Unternehmen haben die Systeme ihrer Kunden bereits gepatcht, aber der Hersteller von cPanel drängt alle, nochmal nachzusehen, denn der Bug betrifft alle unterstützten Versionen. Ja, alle. Kanadas nationale Cybersicherheitsbehörde schaltete sich mit einer Warnung ein, dass eine Ausnutzung „hochwahrscheinlich“ sei, was auf Behördendeutsch bedeutet: „Hör auf zu scrollen und patche das jetzt.“

Der Webhosting-Riese Namecheap, der cPanel für seine Kunden nutzt, blockierte den Zugang zu cPanel-Panels, sobald er von dem Fehler erfuhr – wie ein Türsteher, der den VIP-Bereich schließt, bevor die Party verwüstet wird. Hostgator patchte ebenfalls seine Systeme und nannte den Bug einen „kritischen Authentifizierungs-Bypass-Exploit“, was sich furchterregend anhört und es auch ist.

Ein Webhosting-Unternehmen, KnownHost, fand Beweise, dass Hacker die Schwachstelle seit dem 23. Februar ausnutzen – das sind Monate ungebetener Gäste, die in den digitalen Schatten lauern. CEO Daniel Pearson teilte auf Reddit mit, dass etwa 30 von KnownHosts Servern Anzeichen versuchter unbefugter Zugriffe zeigten, obwohl keine aktiven Kompromittierungen bestätigt wurden. Er verglich die Bemühungen mit Versuchen, was beruhigend ist, so wie ein halb geöffnetes Fenster.

cPanel veröffentlichte auch einen Sicherheitsfix für WP Squared, ein ähnliches Tool zur Verwaltung von WordPress-Seiten, denn anscheinend lautet das Thema dieser Woche „patcht alles“. Wenn Sie cPanel verwenden, fragen Sie vielleicht bei Ihrem Webhoster nach – oder gehen Sie einfach davon aus, dass sie es im Griff haben, und hoffen Sie das Beste.