Das Unternehmen cPanel hat Sicherheitsupdates für cPanel und Web Host Manager (WHM) veröffentlicht, die drei Schwachstellen beheben: beliebiges Auslesen von Dateien, Ausführung beliebigen Perl-Codes und unsichere Verarbeitung symbolischer Links. Zwei der drei Probleme wurden mit CVSS 8.8 und damit als hochkritisch eingestuft. Die Schwachstellen betreffen ein breites Spektrum unterstützter Produktzweige sowie die Plattform WP Squared. Nach derzeitigem Kenntnisstand gibt es zum Zeitpunkt der Veröffentlichung keine Hinweise auf eine aktive Ausnutzung in the wild, Administratoren von Hosting-Panels wird jedoch empfohlen, die Patches umgehend einzuspielen.

Technische Details der Schwachstellen

Alle drei Schwachstellen hängen mit unzureichender Validierung von Eingabedaten oder unsicherer Verarbeitung von Dateioperationen auf Serverseite zusammen.

• CVE-2026-29201 (CVSS: 4.3) – unzureichende Validierung des Dateinamens in der Funktionalität des adminbin-Aufrufs feature::LOADFEATUREFILE. Laut Angaben ermöglicht die Schwachstelle das Auslesen beliebiger Dateien auf dem Server. Trotz des vergleichsweise niedrigen CVSS-Scores kann unautorisierter Zugriff auf das Dateisystem zur Aufklärung vor einer schwerwiegenderen Attacke genutzt werden.
• CVE-2026-29202 (CVSS: 8.8) – unzureichende Validierung des Parameters plugin im API-Aufruf create_user. Nach Angaben des Herstellers erlaubt die Schwachstelle die Ausführung beliebigen Perl-Codes im Kontext des Systembenutzers eines bereits authentifizierten Accounts. Das bedeutet, dass ein Angreifer mit legitimen Zugangsdaten zur Verwaltungsoberfläche seine Berechtigungen überschreiten und Kommandos auf Betriebssystemebene ausführen kann.
• CVE-2026-29203 (CVSS: 8.8) – unsichere Verarbeitung symbolischer Links, die es einem Benutzer ermöglicht, über chmod die Zugriffsrechte eines beliebigen Files zu verändern. Dies kann zu einer Dienstverweigerung oder zu einer Privilegienerweiterung führen. Angriffe über symbolische Links sind in Multi-Tenant-Hosting-Umgebungen besonders gefährlich, in denen die Isolation zwischen Accounts ein sicherheitskritisches Muss ist.

Es ist wichtig, die Schweregrade zu unterscheiden: CVE-2026-29201 stellt ein moderates Risiko dar, während CVE-2026-29202 und CVE-2026-29203 mit einem Score von 8.8 priorisierte Aufmerksamkeit erfordern. Keine der drei Schwachstellen ist im CISA-KEV-Katalog aufgeführt, und bestätigte Ausnutzungen sind nach aktuellem Kenntnisstand nicht bekannt.

Betroffene Versionen und Patches

Die Patches werden für mehrere unterstützte cPanel- und WHM-Zweige bereitgestellt. Als behoben gelten folgende Versionen und höher:

• 11.136.0.9
• 11.134.0.25
• 11.132.0.31
• 11.130.0.22
• 11.126.0.58
• 11.124.0.37
• 11.118.0.66
• 11.110.0.116 / 11.110.0.117
• 11.102.0.41
• 11.94.0.30
• 11.86.0.43

Für die Plattform WP Squared ist die Behebung in Version 11.136.1.10 und höher enthalten.

Auswirkungsbewertung

cPanel und WHM werden von Tausenden Hosting-Providern und Managed-Services-Anbietern weltweit eingesetzt. Die Multi-Tenant-Natur dieser Plattformen macht Schwachstellen der Klassen „Privilege Escalation“ und „Code Execution“ besonders gefährlich: Die Kompromittierung eines Accounts kann zu lateraler Bewegung zwischen Kundenumgebungen auf demselben Server führen.

CVE-2026-29202 setzt einen authentifizierten Zugriff voraus, was die Angriffsfläche für externe Angreifer reduziert, das Risiko jedoch nicht eliminiert: In realen Szenarien erlangen Angreifer Zugangsdaten häufig über Phishing, Leaks oder Passwort-Cracking und nutzen derartige Schwachstellen anschließend zur Eskalation. CVE-2026-29203 ermöglicht durch Manipulation symbolischer Links und chmod potenziell die Störung des gesamten Serverbetriebs, was für Provider mit Verfügbarkeitsgarantien besonders kritisch ist.

Praktische Empfehlungen

1. Aktualisieren Sie cPanel und WHM auf die aktuelle Version Ihres Zweigs (siehe Liste oben). Automatische Updates in cPanel lassen sich über WHM → Update Preferences prüfen.
2. Aktualisieren Sie WP Squared auf Version 11.136.1.10 oder höher, sofern Sie diese Plattform einsetzen.
3. Prüfen Sie die Version manuell mit dem Befehl cat /usr/local/cpanel/version auf dem Server – stellen Sie sicher, dass die installierte Version für Ihren Zweig nicht unterhalb der behobenen liegt.
4. Beschränken Sie den Zugriff auf WHM per IP-Filter im Firewall, um die Angriffsfläche zu verringern, insbesondere in der Phase vor dem Einspielen des Patches.
5. Führen Sie ein Audit aktiver Sessions und API-Keys durch – CVE-2026-29202 wird im Kontext eines authentifizierten Benutzers ausgenutzt, kompromittierte Zugangsdaten stellen daher einen direkten Angriffsvektor dar.

Administratoren, die einen der genannten cPanel- und WHM-Zweige einsetzen, sollten die Updates mit hoher Priorität einspielen – insbesondere vor dem Hintergrund des CVSS-Scores von 8.8 für CVE-2026-29202 und CVE-2026-29203. Das Hinauszögern des Patchings in einer Multi-Tenant-Hosting-Umgebung schafft ein reales Risiko für die Kompromittierung von Kundendaten und die Aufhebung der Isolation zwischen Accounts, selbst wenn derzeit noch keine bestätigten Angriffe bekannt sind.