cPanel/WHM: vulnerabilidad crítica permite acceso root sin autenticación
Autor: Joel Barrios
Sat, 02 May 2026 12:29:00
X.com Facebook Reddit LinkedIn Email
Una vulnerabilidad de severidad crítica (CVSS 9.8) ha sido descubierta en los paneles de control cPanel y WHM, dos de las herramientas de administración de servidores más empleadas en la industria del alojamiento web (se estima que gestionan cerca de 70 millones de dominios). El fallo, registrado como CVE-2026-41940, permite a un atacante remoto sin necesidad de credenciales eludir la pantalla de acceso y obtener control total del servidor afectado, incluyendo todos los sitios web, bases de datos, cuentas de correo electrónico y configuraciones alojadas en él. La situación resulta especialmente alarmante porque, además de un código de explotación funcional ya publicado en línea, hay evidencias de que la vulnerabilidad ha estado siendo explotada activamente como «día cero» desde, al menos, el pasado mes de febrero de 2026.
⚠️ El origen del problema (explicación sencilla)
El fallo se encuentra en un componente interno del software denominado cpsrvd, el servicio que gestiona las peticiones de acceso al panel. Los investigadores de watchTowr descubrieron que cuando un atacante realiza un intento fallido de inicio de sesión, el servicio crea un archivo temporal de sesión en la unidad de almacenamiento del servidor. Este archivo provisional contiene la información de la petición de acceso que acaba de producirse. El atacante puede manipular la información que se escribe en ese archivo aprovechando una técnica conocida como inyección de CRLF (Carriage Return Line Feed), que consiste en introducir caracteres especiales en el campo de la contraseña para romper la estructura del archivo. Esto le permite añadir líneas completamente nuevas al archivo, como instrucciones que le otorgan privilegios de superadministrador (user=root, hasroot=1), que el sistema después interpreta como auténticas y legítimas al recargar la sesión, otorgándole así acceso con todos los privilegios.
Analogía para comprenderlo mejor: imagine que al solicitar acceso a un edificio custodiado se genera un informe con sus datos (nombre, habitación a la que desea dirigirse y si la puerta de entrada principal se encuentra abierta o cerrada). Si descubre que puede añadir líneas adicionales a ese informe para hacer creer que es un alto directivo del lugar, el sistema de seguridad podría entonces permitirle el paso libremente sin hacer las comprobaciones habituales. Eso es precisamente lo que permite este fallo.
🌍 Un problema global y de urgente solución
La gravedad de la situación queda reflejada en las acciones emprendidas por múltiples actores del sector:
- Grandes proveedores de alojamiento como Namecheap, HostGator y KnownHost han bloqueado temporalmente el acceso a los paneles de control de sus clientes para protegerlos mientras aplicaban los parches de emergencia. La empresa KnownHost confirmó haber detectado intentos de explotación en sus sistemas desde el pasado 23 de febrero de 2026.
- Agencias gubernamentales de ciberseguridad de Canadá y Australia han emitido alertas urgentes confirmando la explotación activa y proactiva de la vulnerabilidad a escala mundial.
- El fabricante —cPanel— ha publicado parches de emergencia y recomienda a todos los administradores actualizar sus sistemas de manera inmediata.
🔧 Solución recomendada (procedimiento principal)
Si usted gestiona sistemas con cPanel/WHM o WP Squared, debe actuar con la mayor celeridad posible. El fabricante ha publicado versiones corregidas para todas las ramas activas. La versión corregida que debe instalar depende de la rama que esté utilizando en su servidor:
| Si su versión actual es... | Debe actualizar a la versión... |
|---|---|
| 11.86.0 (o anterior) | 11.86.0.41 (o superior) |
| 11.110.0 (o anterior) | 11.110.0.97 (o superior) |
| 11.118.0 (o anterior) | 11.118.0.63 (o superior) |
| 11.124.0 (o anterior) | 11.124.0.35 (o superior) |
| 11.126.0 (o anterior) | 11.126.0.54 (o superior) |
| 11.130.0 (o anterior) | 11.130.0.19 (o superior) |
| 11.132.0 (o anterior) | 11.132.0.29 (o superior) |
| 11.134.0 (o anterior) | 11.134.0.20 (o superior) |
| 11.136.0 (o anterior) | 11.136.0.5 (o superior) |
| WP Squared 11.136.1 (o anterior) | WP Squared 11.136.1.7 (o superior) |
Para proceder con la actualización, ejecute los siguientes mandatos en su terminal como usuario privilegiado (root):
/scripts/upcp --forceUna vez completada la actualización, reinicie el servicio principal cpsrvd y verifique la versión instalada:
/scripts/restartsrv_cpsrvd --hard
/usr/local/cpanel/cpanel -V🛡️ Medidas de contingencia inmediatas (si le resulta imposible actualizar ahora mismo)
Si por alguna razón resulta imposible aplicar los parches de manera inmediata, el fabricante recomienda las siguientes medidas temporales para mitigar el riesgo:
- Opción A (Recomendada): Bloquee el tráfico entrante hacia los puertos afectados en el muro cortafuegos. Los puertos específicos son:
2083(acceso seguro a cPanel)2087(acceso seguro a WHM)2095(acceso a correo electrónico webmail)2096(acceso seguro a correo electrónico webmail)
- Opción B (Más drástica): Detenga por completo los servicios web (
cpsrvdycpdavd):whmapi1 configureservice service=cpsrvd enabled=0 monitored=0 && whmapi1 configureservice service=cpdavd enabled=0 monitored=0 && /scripts/restartsrv_cpsrvd --stop && /scripts/restartsrv_cpdavd --stop
💭 Una visión personal: la alternativa a cPanel/WHM
Con la experiencia de casi 30 años administrando servidores Linux, siempre he mostrado rechazo hacia herramientas privativas como cPanel/WHM, al considerarlas interfaces diseñadas para administradores con un bajo nivel técnico, que sacrifican la seguridad por una falsa comodidad. Este prejuicio personal se confirma una vez más con la aparición de este tipo de vulnerabilidades, que permiten que cualquier atacante —sin tener un nivel de conocimientos muy avanzado— pueda hacerse con el control total de un servidor.
La situación se vuelve aún más delicada si un mismo sistema es vulnerable a la vez a Copy Fail (CVE-2026‑31431) y a esta vulnerabilidad de cPanel, como probablemente sea el caso de muchos servidores. Se trataría de una pesadilla sin paliativos: un fallo en el núcleo que permite la escalada local de privilegios (Copy Fail) y una puerta trasera para acceder remotamente al panel de administración como si se tuviera la llave maestra (CVE-2026‑41940), convirtiendo al sistema en un blanco fácil.
Una alternativa sólida y de fuente abierta que siempre recomendamos es la combinación de Webmin + Virtualmin. Se trata de un software de administración con todas las funcionalidades necesarias, que ofrece un control más granular sobre la seguridad y que carece, por filosofía de diseño, de este tipo de falacias que comprometen la seguridad del sistema.
📢 Reflexión final y llamado a la acción
La combinación de un código de explotación público, su explotación activa en el mundo real y el enorme número de sistemas expuestos (se estima que cerca de millón y medio de instancias de cPanel son accesibles desde Internet) configura un escenario de alto riesgo. La ventana de oportunidad para que delincuentes informáticos tomen el control de miles de servidores está abierta y es la puerta de entrada para perpetrar otras actividades maliciosas a mayor escala.
Por favor, evite ser el próximo en sufrir las consecuencias. Actúe hoy mismo.
📚 Bibliografía
- Artículo original de TechCrunch sobre la vulnerabilidad
- Aviso de seguridad oficial de cPanel (CVE-2026-41940)
- Resultados de búsqueda sobre CVE-2026-41940
- Alerta del Centro Canadiense de Ciberseguridad
- Comunicado de Namecheap sobre el bloqueo de paneles cPanel
- Comunicado de HostGator sobre el parche
- Debate en Reddit de KnownHost sobre la explotación temprana
- Artículo de SecurityWeek sobre la vulnerabilidad