Angreifer können an einer „kritischen“ Sicherheitslücke in der Webserver-Verwaltungssoftware cPanel und WebHost Manager (WHM) ansetzen und unbefugt darauf zugreifen. Bislang gibt es seitens des Softwareherstellers keine Berichte zu laufenden Attacken. Admins sollten das Sicherheitsupdate dennoch zeitnah installieren.

Die Gefahr

Der Beschreibung der Schwachstelle (CVE-2026-41940) zufolge können entfernte Angreifer auf einem nicht näher beschriebenen Weg die Authentifizierung umgehen und auf das Controlpanel zugreifen. Was sie im Anschluss konkret anstellen können, ist derzeit noch unklar.

In einer Warnmeldung führen die Entwickler aus, dass davon alle Ausgaben ab 11.40 betroffen sind. Sie versichern, das Sicherheitsproblem in den folgenden cPanel/WHM-Versionen gelöst zu haben:

• 11.86.0.41
• 11.110.0.97
• 11.118.0.63
• 11.126.0.54
• 11.130.0.19
• 11.132.0.29
• 11.136.0.5
• 11.134.0.20
• WP Squared-Version 136.1.7

Instanzen schützen

Der Befehl /scripts/upcp –force stößt ein Update an. Mit /usr/local/cpanel/cpanel -V prüfen Admins die installierte Ausgabe. Im Anschluss ist noch ein Neustart via /scripts/restartsrv_cpsrvd nötig.

Wenn Admins den Sicherheitspatch nicht sofort installieren können, müssen sie Instanzen über eine Übergangslösung schützen. Dafür blockieren sie die Ports 2083, 2087, 2095 und 2096 oder stoppen die Services cpsrvd und cpdavd mit dem Befehl whmapi1 configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd –stop

In der Warnmeldung bieten die Entwickler ein Skript an, über das Admins bereits attackierte Instanzen erkennen können.

Im vergangenen August hatten die Entwickler in cPanel ebenfalls Sicherheitslücken geschlossen, die als hochriskant galten.

(des)

Ein Angreifer hat das Python-Tool zur Datenüberwachung, elementary-data, in einer manipulierten Version 0.23.3 auf PyPI hochgeladen. Das gefälschte Release stiehlt Credentials wie SSH-Schlüssel, AWS-Zugangsdaten, API-Tokens und Wallet-Dateien verschiedener Kryptowährungen. Mittlerweile hat der Anbieter Elementary das kompromittierte Paket entfernt, es konnte aber knapp einen halben Tag lang Schaden anrichten.

Die schädliche Version 0.23.3 von elementary-data hatte der Angreifer, der sich hinter dem wenige Tage alten GitHub-Account realtungtungtungsahur versteckte, am 25. April um 0:20 MESZ auf PyPI hochgeladen, gefolgt von einem kompromittierten Docker-Image, das um 0:24 Uhr seinen Weg in die GitHub Container Registry fand.

Etwas mehr als 11 Stunden später, am 25. April um 11:45 Uhr, entfernte das Elementary-Team die schädlichen Dateien und ersetzte sie durch die bereinigte Version 0.23.4. Die Elementary Cloud, das Elementary dbt-Paket und andere Versionen des CLI-Tools waren laut Team nicht von diesem Vorfall betroffen. Mittlerweile hat der Anbieter auch einen vollständigen Sicherheitsbericht veröffentlicht, der die Timeline, Ursachenanalyse und alle Gegenmaßnahmen enthält.

Allein im letzten Monat verzeichnete elementary-data laut pypistats.org mehr als eine Million Downloads, was das Open-Source-CLI zu einem der am häufigsten genutzten Monitoring- und Diagnose-Tools für dbt-basierte Datenplattformen macht. Im Fall eines erfolgreich durchgeführten Angriffs stehen damit auch die Chancen gut, Zugriff auf entsprechende Secrets zu erhalten.

Angriff über GitHub Actions

Der Angreifer nutzt eine Script-Injection-Schwachstelle in einem der GitHub-Actions-Workflows von elementary-data aus, um eigenen Code innerhalb der Pipeline auszuführen. Mit dem automatisch bereitgestellten GITHUB_TOKEN löste er anschließend den Release-Workflow release.yml per workflow_dispatch aus. Er hatte dafür einen Pull Request mit Schadcode eingebracht, musste ihn aber weder mergen noch den Master-Branch direkt verändern.

Der Schadcode steckt in der Datei elementary.pth, die sich im Verzeichnis site-packages des Pakets findet, und hat ein breites Spektrum sensibler Daten im Visier: SSH-Schlüssel, Zugangsdaten für die AWS-Cloud und Secrets für Docker und Kubernetes. Auch Wallet-Dateien von Kryptowährungen wie Bitcoin, Litecoin, Dogecoin und Ethereum gehören zu den Zielobjekten. Die gestohlenen Daten wurden in der Datei trin.tar.gz zusammengefasst und an die Adresse igotnofriendsonlineorirl-imgonnakmslmao.skyhanni.cloud exfiltriert. Der Vorfall ist auch unter MAL-2026-3083 im Open-Source-Schwachstellenregister OSV katalogisiert.

Gegenmaßnahmen

Anwenderinnen und Anwender, die die betroffene Version 0.23.3 installiert haben, sollten umgehend handeln. Das Elementary-Team empfiehlt, grundsätzlich einen Versions-Check mit

pip show elementary-data | grep Version

durchzuführen. Anschließend gelte es, Version 0.23.3 mit

pip uninstall elementary-data

zu deinstallieren und durch die sichere Version zu ersetzen:

pip install elementary-data==0.23.4

Ferner sollten Nutzerinnen und Nutzer die Version in den requirements-Dateien und Lockfiles auf elementary-data==0.23.4 festlegen sowie im letzten Schritt sämtliche mit elementary-data genutzten Zugangsdaten erneuern.

Darüber hinaus empfiehlt das Team, Cache-Dateien zu löschen und auf allen potenziell betroffenen Systemen nach der Marker-Datei des Schadcodes zu suchen: Unter macOS und Linux liegt sie unter /tmp/.trinny-security-update, unter Windows unter %TEMP%\.trinny-security-update. Ist die Datei vorhanden, war der Schadcode auf dem jeweiligen System aktiv.

Parallel dazu hat das Elementary-Team den PyPI-Publish-Token, den GitHub-Token und die Docker-Registry-Credentials rotiert sowie den anfälligen GitHub-Actions-Workflow entfernt und alle übrigen Workflows geprüft.

Sicherheitsprobleme im Open-Source-Ökosystem und der Lieferkette sind nach wie vor allgegenwärtig. KI-Agenten können dabei helfen, dieses Problem in den Griff zu bekommen.

(mro)

WhatsApp beendet den Support betagter Smartphones, deren Betriebssystem älter als Android 6.0 ist. Sie können den Messenger ab dem 8. September 2026 nur noch verwenden, wenn sie eine ältere App-Version weiter nutzen und Updates unterbinden.

Aus für Lollipop

Das berichtet das unabhängige WhatsApp-Blog WABetaInfo, dem Hinweise von betroffenen Nutzern zugespielt wurden. Auf ihren Smartphones erscheint in WhatsApp ein Hinweisfenster, in dem auf das anstehende Supportende verwiesen wird. Demzufolge wird WhatsApp die Unterstützung für alle Android-Versionen einstellen, die älter als Android 6.0 sind. Das bedeutet, dass Smartphones mit Android 5.0 mit dem Codenamen Lollipop und 5.1 die App nach dem Stichtag nicht mehr nutzen können.

WhatsApp rät betroffenen Nutzerinnen und Nutzern dazu, ihre Chats vor dem Datum zu sichern. Nutzer können ihre Chatverläufe entweder in der Cloud auf Google Drive sichern oder ein lokales Backup auf dem Gerät anlegen, das sich bei Bedarf später manuell auf ein aktuelleres Gerät übertragen lässt.

Hintergrund dieser Entscheidung von WhatsApp ist offenbar, dass uralte Betriebssysteme die Weiterentwicklung des Messengers ausbremsen würden. Neue Features erfordern bestimmte Mindestanforderungen, zudem benötige „die Unterstützung fortgeschrittener Funktionen“ den Einsatz neuerer Systemfunktionen und verbesserter Leistungsstandards, heißt es.

Künftig Android 6 und neuer erforderlich

Die im September eintretende Mindestanforderung scheint Google-Daten zur Android-Versionsverteilung zufolge nur sehr wenige Nutzer zu betreffen. Den letzten Zahlen vom Dezember 2025 zufolge nutzen etwa 0,4 Prozent die betroffenen Android-Versionen 5.0 und 5.1, die vor über 10 Jahren veröffentlicht wurden. Das älteste noch von WhatsApp unterstützte Android 6.0 ist im Oktober 2015 freigegeben worden.

Laut WABetaInfo seien vor allem Nutzer in Ländern wie Indien, Brasilien, Pakistan sowie Teilen Südostasiens und Afrikas betroffen, wo ältere Smartphones weit verbreitet sind. Glaubt man den Näherungswerten von Statcounter sind die uralten Android-Versionen aber auch dort mittlerweile Mangelware.

Angesichts dessen, dass Android 5.1 schon seit Jahren keinen Support und somit keine Sicherheitsupdates mehr erhält, das System aber zahlreiche bekannte Sicherheitslücken enthält, ist es ein richtiger Schritt des Unternehmens, uralte Zöpfe abzuschneiden. Android-Versionen, die noch aktiv mit Sicherheitspatches versorgt werden, erschweren etwa Angriffe mit dem Ziel des Ausspionierens. Derweil wird im Laufe des Sommers schon Android 17 erwartet.

(afl)