24/7-Support
FAQ
 Dashboard
Kontoguthaben:    
cPanel-Sicherheitsspurt: Fünf CVEs gefixt – und einer schon wieder geknackt

cPanel-Sicherheitsspurt: Fünf CVEs gefixt – und einer schon wieder geknackt

Mai 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel-SicherheitsSprint: Fünf CVEs gefixt – doch einer hakt schon wieder

Wer cPanel-Server betreibt, kennt das: Sicherheitsupdates hageln nur so herunter. Wie ein Feueralarm, der ständig anspringt. Am 13. Mai kam ein neues Paket mit Patches für fünf CVEs. Doch kurz drauf war klar: Mindestens einer hält nicht, was er verspricht. Security-Experte Shubham Shah hat das öffentlich gemacht. Schauen wir uns an, was da schiefgelaufen ist – und was das für eure Hosting-Umgebung bedeutet.

Die fünf Schwachstellen: Albträume für Admins

Alle fünf CVEs haben High-Severity-Status, CVSS-Werte bis 8,6. Hier die Details:

CVE-2026-29205 (Der fehlerhafte Patch)

Unauthentifizierte Angreifer lesen beliebige Dateien über cpdavd-Endpoints aus. Grund: Schlechte Pfad-Filterung und Rechteverwaltung. CVSS: 8,6. Problem: Der Patch behebt das nicht komplett. Eure Systeme bleiben angreifbar.

CVE-2026-29206 (SQL-Injection im sqloptimizer)

Root-SQL-Injection in der sqloptimizer-Utility, wenn Slow-Query-Logging läuft. Braucht User-Interaktion, aber das Potenzial ist riesig. CVSS: 8,1.

CVE-2026-32991 (Privilege Escalation im Team Manager)

In Multi-Tenant-Setups mit Team Manager: Teammitglieder pushen sich zum Owner hoch. CVSS: 7,1. Reseller von cPanel-Accounts sind betroffen.

CVE-2026-32992 (SSL deaktiviert im DNS Cluster)

SSL-Verifikation im DNS Cluster ausgeschaltet. Man-in-the-Middle auf internen Netzen klaut Credentials. CVSS: 8,2. Klassischer Security-Killer.

CVE-2026-32993 (CRLF-Injection)

Unauthentifizierte CRLF-Injection am /unprotected/nova_error-Endpoint. Ermöglicht Header-Manipulation. Dieselbe Lücke trieb im April die .sorry-Ransomware. CVSS: 8,3.

Das Kernproblem: Fixen unter Zeitdruck

cPanel-Mitarbeiter schreiben auf Reddit: Wöchentliche Security-Releases sind jetzt Standard. Zeitplan passt: 28. April, 8. Mai, 13. Mai – nächstes Update droht bald. WebPros steckt im Krisenmodus. Sie jagen Lücken und patchen fieberhaft. Besser als Schweigen, klar. Aber Eile macht Fehler: CVE-2026-29205 beweist es.

Was ihr sofort tun solltet

  1. Patches nicht blind vertrauen. Holt die May-13-Updates für eure cPanel/WHM-Version. Bei CVE-2026-29205 aber nachhaken – Fix unvollständig.

  2. CVE-2026-29205 priorisieren. Datei-Lese-Lücke ist live ausnutzbar. Überwacht /dav-Zugriffe auf verdächtige Aktivitäten.

  3. Alle Produkte updaten. Betroffen: cPanel, WHM, WP Squared. May-13-Patches wirken im ganzen WebPros-Ökosystem.

  4. Versionslinie prüfen. Fixes von 11.86 bis 11.136. Bei CloudLinux 6 erst auf cl6110-Tier wechseln.

  5. Auf Folgepatch warten. Der echte Fix für CVE-2026-29205 kommt. Als Critical einstufen.

Der große Kontext

Kein Einzelfall. cPanel knackt systematisch alte Lücken – und fixt sie unter Druck. Verantwortungsvoll, aber nervig für Admins. Die .sorry-Ransomware im April mahnte: Ungepatcht = Risiko. Die Mai-Welle zeigt: Massenentdeckung = Chaos. cPanel kommuniziert offen – das ist positiv.

Haltet eure NameOcean-Infrastruktur aktuell, checkt Logs regelmäßig und ignoriert keine CVEs. Auch nicht die "gefixten".

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN