Eine kritische Sicherheitslücke in der weit verbreiteten Hosting-Software cPanel und Web Host Manager (WHM) ist laut aktuellen Analysen über Wochen aktiv ausgenutzt worden. Wie der Sicherheitsdienst 'Risikomonitor' berichtet, wurde die Schwachstelle CVE-2026-41940 (CVSS 9,8) bereits seit Februar 2026 als Zero-Day missbraucht – rund zwei Monate vor der Veröffentlichung eines Patches durch den Hersteller Webpros Ende April.

Die Schwachstelle erlaube eine Authentifizierungsumgehung im Login- und Session-Handling. Angreifer könnten sich ohne gültige Zugangsdaten Administratorrechte verschaffen und vollständige Kontrolle über betroffene Server erlangen. Da auf Shared-Hosting-Systemen oft Dutzende bis Hunderte Kunden laufen, könne ein einzelner kompromittierter Server zahlreiche Websites, Datenbanken und Mailkonten betreffen.

Die aktive Ausnutzung wurde rückwirkend bis Ende Februar datiert. Inzwischen sei zudem ein öffentlich verfügbares Exploit-Framework im Umlauf, was die Gefahr weiterer automatisierter Angriffe erhöhe. Schätzungen der Shadowserver Foundation zufolge könnten weltweit rund 44'000 cPanel-Installationen kompromittiert worden sein. Über die Software werden Millionen von Websites betrieben.

Für die DACH-Region identifiziert 'Risikomonitor' rund 2000 öffentlich erreichbare cPanel-Instanzen, davon mehrere hundert in der Schweiz. Allerdings dürfte die tatsächliche Angriffsfläche deutlich grösser sein, da viele Systeme hinter Proxys betrieben oder nicht eindeutig identifizierbar seien, so der Bericht. Ausserdem laufe ein grosser Teil des Hostings für Schweizer und österreichische Kunden über Infrastruktur in Deutschland – wo die mit Abstand meisten exponierten Systeme stehen.

Der Schweizer Hosting-Markt ist laut Cybersecurity-Experte Manuel Löw-Beer, CTO von Risikomonitor, heterogen aufgestellt. Während einige Anbieter weiterhin auf cPanel setzen, betreiben grosse Hoster wie Hostpoint, Infomaniak oder Cyon eigene Verwaltungsoberflächen. Andere würden Alternativen wie Plesk nutzen, das teilweise in der Schweiz entwickelt wird.

Allerdings zeigt sich bei genauerer Betrachtung eine starke Konzentration im Hintergrund: Sowohl cPanel als auch Plesk gehören zur gleichen Holding, Webpros, die von Finanzinvestoren kontrolliert wird. "Die Verwaltungsschicht eines erheblichen Teils der weltweiten Webhosting-Infrastruktur liegt damit in der Hand finanzgetriebener Strukturen", führt Löw-Beer gegenüber inside-it.ch aus. Dies könne Zielkonflikte zwischen Rendite und langfristigen Sicherheitsinvestitionen schaffen.

Zusätzlich mehren sich Hinweise, dass die Schwachstelle bereits für konkrete Ransomware-Angriffe missbraucht wird. Laut 'Bleeping Computer' wird dabei eine Linux-basierte Schadsoftware eingesetzt, die Serverdaten verschlüsselt und betroffene Systeme unbrauchbar macht. In einzelnen Fällen sollen bereits kompromittierte Websites öffentlich sichtbar geworden sein.

Trotz verfügbarer Sicherheitsupdates bleibe die Lage angespannt. Aufgrund der langen Phase unentdeckter Ausnutzung gilt eine Kompromittierung vieler Systeme als wahrscheinlich. Fachleute empfehlen neben sofortigem Patchen insbesondere umfassende forensische Analysen und eine Rotation sämtlicher Zugangsdaten.