cPanel tiene liberado actualizaciones de seguridad para abordar un problema de seguridad que afecta varias rutas de autenticación que podrían permitir a un atacante obtener acceso al software del panel de control.
El problema afecta a todas las versiones actualmente compatibles de cPanel y WebHost Manager (WHM), según una alerta publicada por WebPros el martes. No tiene un identificador oficial. El problema se ha solucionado en las siguientes versiones:
- 11.86.0.41
- 11.110.0.97
- 11.118.0.63
- 11.126.0.54
- 11.130.0.19
- 11.132.0.29
- 11.136.0.5
- 11.134.0.20
«Si su servidor no ejecuta una versión compatible de cPanel que sea elegible para esta actualización, se recomienda encarecidamente que trabaje para actualizar su servidor lo antes posible, ya que también puede verse afectado», señaló cPanel.
Si bien cPanel no compartió ningún detalle sobre la vulnerabilidad, la empresa de alojamiento web y registro de dominio Namecheap revelado que «se relaciona con un exploit de autenticación de inicio de sesión que podría permitir el acceso no autorizado al panel de control».
Como medida de precaución, la compañía ha aplicado una regla de firewall para bloquear el acceso a los puertos TCP 2083 y 2087, una medida que, según dijo, restringirá temporalmente el acceso de los clientes a sus interfaces cPanel y WHM hasta que se aplique un parche completo.
«Nuestro equipo está monitoreando activamente la situación y aplicará el parche oficial en todos los servidores compatibles tan pronto como esté disponible», señaló Namecheap. «El acceso a sus paneles de control se restaurará inmediatamente una vez que el parche se haya implementado con éxito».
A partir del 29 de abril de 2026 a las 02:42 am UTC, la solución se aplicó al revendedor, a los servidores de Stellar Business y al resto, según el equipo de soporte de Namecheap.
Fallo ahora rastreado como CVE-2026-41940; Explotado como día 0
A la vulnerabilidad de omisión de autenticación se le ha asignado el identificador CVE CVE-2026-41940y tiene una puntuación CVSS de 9,8 sobre 10,0. En una actualización de su aviso, cPanel dicho También se han enviado parches a WP Cuadrado versión 136.1.7.
«Las versiones de cPanel y WHM posteriores a la 11.40 contienen una vulnerabilidad de omisión de autenticación en el flujo de inicio de sesión que permite a atacantes remotos no autenticados obtener acceso no autorizado al panel de control», según un descripción del defecto en la Base de datos nacional de vulnerabilidad (NVD) del NIST.
cPanel también ha instado a los clientes a realizar las siguientes acciones:
- Actualice el servidor a una de las versiones mencionadas anteriormente inmediatamente a través del script de actualización de cPanel («/scripts/upcp –force»)
- Verifique y confirme la versión de compilación de cPanel que se devuelve y reinicie
Como mitigaciones hasta que se pueda aplicar un parche, la compañía sugiere los siguientes pasos:
- Bloquear el tráfico entrante en los puertos 2083, 2087, 2095 y 2096 en el firewall, o
- Detener cpsrvd y cpdavd
Informes sobre Reddit indicar que la vulnerabilidad ha sido bajo explotación activa como un día cero, y el director ejecutivo de KnownHost, Daniel Pearson, señaló que «esto se ha utilizado absolutamente en la naturaleza y se ha visto al menos durante los últimos 30 días, si no más». The Hacker News se comunicó con cPanel para obtener más información y actualizaremos la historia si recibimos una respuesta.
cPanel ha lanzado un script de detección para buscar indicadores de compromiso.
- La sesión tiene origen token_denied Y cp_security_token y método = badpass
- Sesión previamente autenticada con atributos autenticados
- Cualquier sesión con tfa_verified pero sin origen válido
- Campo de contraseña que contiene nuevas líneas
«El compromiso de cPanel es materialmente diferente del compromiso del sitio web de un solo cliente. WHM otorga acceso administrativo raíz al servidor», Hadrian dicho. «Un atacante con este acceso puede leer todas las cuentas de alojamiento de los clientes, modificar archivos y bases de datos, crear cuentas de puerta trasera, instalar malware, robar credenciales y acceder a las redes de los clientes».
en un publicación compartida En LinkedIn, Eye Security dijo que identificó más de 2 millones de instancias de cPanel conectadas a Internet, aunque actualmente no se sabe cuántas de ellas tienen habilitada la actualización automática y son vulnerables a la falla.
WatchTowr Labs, que especificaciones técnicas adicionales publicadas En cuanto a la falla, dijo que las inconsistencias en el flujo de autenticación de cPanel pueden ser explotadas por actores adicionales para evitar las comprobaciones de inicio de sesión y acceder a las cuentas.
en su propio consultivo Para la vulnerabilidad, Rapid7 dijo que CVE-2026-41940 es causada por un avance de línea de retorno de carro (CRLF) inyección en los procesos de inicio de sesión y carga de sesiones de cPanel y WHM, lo que permite a un atacante obtener acceso administrativo no autorizado a los sistemas afectados –
Antes de que se produzca la autenticación, `cpsrvd` (el demonio del servicio cPanel) escribe un nuevo archivo de sesión en el disco. La vulnerabilidad permite a un atacante manipular la cookie «whostmgrsession» omitiendo un segmento esperado del valor de la cookie, evitando el proceso de cifrado que normalmente se aplica a un valor proporcionado por el atacante.
Los atacantes pueden inyectar caracteres `\r\n` sin procesar a través de un encabezado de autorización básica malicioso y, posteriormente, el sistema escribe el archivo de sesión sin desinfectar los datos. Como resultado, el atacante puede insertar propiedades arbitrarias, como `usuario=root`, en su archivo de sesión. Después de activar una recarga de la sesión desde el archivo, el atacante establece acceso de nivel de administrador para su token.
«Llamemos a esto como es: una omisión de autenticación no autenticada en cPanel y WHM, una solución de plano de administración implementada en decenas de miles de servidores y ubicada frente a una porción significativa de Internet», dijo a The Hacker News Benjamin Harris, CEO y fundador de watchTowr.
«A las pocas horas de caer el aviso, casi todos los principales proveedores de hosting del planeta habían protegido a sus propios clientes de su propio producto. hosting.com, Namecheap, KnownHost, HostPapa, InMotion y el resto apretaron el freno de emergencia porque la alternativa era ver cómo toda su base de clientes se convertía en propiedad en tiempo real».
El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregar CVE-2026-41940 a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches antes del 3 de mayo de 2026.
Fuente