Beveiligingsonderzoekers luiden de alarmbellen – en niet de leuke, feestelijke variant – vanwege een pas ontdekte kwetsbaarheid in cPanel en WebHost Manager (WHM), de webserverbeheersoftware die ongeveer een gazillion websites aandrijft (oké, tientallen miljoenen). De bug, officieel geregistreerd als CVE-2026-41940, laat hackers zo langs het inlogscherm dansen en volledige controle over getroffen servers overnemen, als een digitale versie van je voordeur open laten met een neon 'gratis spullen'-bord.
cPanel en WHM zijn de onbezongen helden van webhosting, die alles regelen van siteconfiguraties tot e-mailbeheer tot database-onderhoud – kortom, de digitale loodgieterij die internetdomeinen van overstromingen weerhoudt. Omdat deze suites diepe, onbeperkte toegang hebben tot de servers die ze beheren, betekent een succesvolle hack dat aanvallers door alle gegevens kunnen rommelen als een nieuwsgierige buur op een rommelmarkt.
Veel commerciële webhostingbedrijven hebben hun klantensystemen al gepatcht, maar de maker van cPanel dringt er bij iedereen op om dubbel te checken, omdat de bug alle ondersteunde versies treft. Ja, allemaal. Canada's nationale cybersecurity-agentschap voegde een advies toe dat exploitatie 'hoogstwaarschijnlijk' is, wat overheidstaal is voor 'stop met scrollen en patch dit nu'.
Webhostinggigant Namecheap, dat cPanel gebruikt voor zijn klanten, blokkeerde de toegang tot cPanel-panelen zodra het van de fout hoorde – als een uitsmijter die de VIP-lounge sluit voordat het feest wordt getrasht. Hostgator patchte ook zijn systemen en noemde de bug een 'kritieke authenticatie-omzeilingsexploit', wat angstaanjagend klinkt en dat ook is.
Een webhostingbedrijf, KnownHost, vond bewijs dat hackers de kwetsbaarheid sinds 23 februari misbruiken – dat zijn maanden van ongenode gasten die in de digitale schaduwen rondhangen. CEO Daniel Pearson ging naar Reddit om te delen dat ongeveer 30 van KnownHosts servers tekenen van ongeautoriseerde toegangspogingen vertoonden, hoewel er geen actieve inbraken werden bevestigd. Hij vergeleek de inspanningen met pogingen, wat geruststellend is op dezelfde manier als een halfopen raam.
cPanel rolde ook een beveiligingsfix uit voor WP Squared, een vergelijkbare tool voor het beheren van WordPress-sites, want blijkbaar is het thema van deze week 'patch alles'. Als je cPanel gebruikt, check dan even bij je webhost – of ga ervan uit dat ze het onder controle hebben en hoop op het beste.