cPanel: Existe una vulnerabilidad activa, con código de explotación público, que permite a cualquier atacante entrar a tu panel de administración sin usuario ni contraseña. No es una advertencia teórica. Es un zero-day que ya fue explotado durante meses antes de que el parche de seguridad existiera.
En total serían 550.000 servidores expuestos, en tanto que la fundación Shadowserver estima que hay 2.000 instancias cPanel afectadas.
Vulnerabilidad CVE-2026-41940 en cPanel
CVE-2026-41940 es una vulnerabilidad de tipo authentication bypass (omisión de autenticación) en cPanel y WebHost Manager (WHM), descubierta públicamente el 28 de abril de 2026. Tiene una puntuación CVSS de 9.8 sobre 10, la calificación más alta que puede recibir una vulnerabilidad antes de llegar al máximo de 10.
cPanel y WHM son el panel de control de hosting más utilizado en el mundo, gestionando más de 70 millones de dominios. Para quienes no están familiarizados: WHM es la interfaz de administración de nivel raíz que usan los proveedores de hosting para gestionar múltiples cuentas, y cPanel es el panel de usuario que cada cliente usa para administrar su sitio web, bases de datos, correo y más.
Lo que hace esta vulnerabilidad especialmente grave es que no requiere credenciales: un atacante remoto no autenticado puede obtener acceso administrativo completo a los servidores afectados sin necesitar ninguna contraseña válida.
¿Cómo funciona técnicamente este fallo?
La vulnerabilidad es causada por una inyección CRLF (Carriage Return Line Feed) en el proceso de inicio de sesión y carga de sesiones de cPanel y WHM. El daemon de cPanel (cpsrvd) escribe un nuevo archivo de sesión en el disco antes de que ocurra la autenticación. Un atacante puede manipular la cookie whostmgrsession omitiendo un segmento esperado del valor de la cookie, evitando así el proceso de cifrado. Al inyectar caracteres \r\n en un encabezado de autorización malicioso, el sistema escribe el archivo de sesión sin sanear los datos, permitiendo insertar propiedades arbitrarias como user=root.
En términos simples: el atacante le dice al sistema que ya está autenticado como root, y el sistema le cree sin verificarlo.
Lo clave es que este fallo afecta a todas las versiones posteriores a la v11.40, lo que significa que prácticamente cualquier instalación activa estaba expuesta al momento de la divulgación.
Tecnoinver responde al instante
Los ataques contra servidores que ejecutan cPanel y WHM pudieron permitir a los hackers vulnerar los sistemas y apoderarse del panel de administración. Tecnoinver en su compromiso de entregar una atención rápida y eficiente, respondió para contrarrestar el problema.
Apenas Cpanel envió la actualización de seguridad, el equipo de Tecnoinver ejecutó las acciones requeridas para aplicar los parches de seguridad, añadiendo scripts de detección contra falsos positivos.
Aplicar el parche no es solo correr /scripts/upcp --force. Se monitoreaba activamente los advisories de seguridad, entendiendo la gravedad de un CVSS 9.8, se actuó antes de que el exploit fuera masivo, y se verificó la integridad post-parche.
De no contrarrestar el problema, un atacante habría entrado al servidor con acceso root completo usando solo el exploit CRLF, sin necesitar contraseña. El cliente no recibe ninguna alerta. El sistema muestra el acceso como «legítimo».
Eso es exactamente lo que un cliente que gestiona su propio servidor, sin un equipo de seguridad dedicado, muy probablemente no habría hecho a tiempo.
¿Qué pueden hacer los atacantes una vez dentro?
El acceso administrativo completo a un servidor cPanel/WHM no es solo acceso a un panel: es control total sobre toda la infraestructura gestionada por ese servidor. Las consecuencias documentadas en ataques reales incluyen:
- Despliegue de malware en sitios web alojados en el servidor comprometido
- Robo de datos de clientes: bases de datos, correos electrónicos, credenciales almacenadas
- Instalación de backdoors persistentes que sobreviven a reinicios del servidor (como el servicio camuflado como
systemd-update.servicedetectado en campañas reales) - Exfiltración de documentos: en ataques documentados, se exfiltraron hasta 4,37 GB de archivos corporativos sensibles
- Uso del servidor comprometido para lanzar ataques a terceros, convirtiendo la infraestructura en herramienta de ataque
¿Cuáles son las versiones afectadas y cuál es el parche de seguridad disponible?
cPanel publicó su actualización de seguridad el 28 de abril de 2026, pocas horas después del aviso oficial. Estas son las versiones que incluyen la corrección:
| Rama de cPanel & WHM | Versión parcheada |
|---|---|
| cPanel & WHM 110.0.x | 11.110.0.97 |
| cPanel & WHM 118.0.x | 11.118.0.63 |
| cPanel & WHM 126.0.x | 11.126.0.54 |
| cPanel & WHM 132.0.x | 11.132.0.29 |
| cPanel & WHM 134.0.x | 11.134.0.20 |
| cPanel & WHM 136.0.x | 11.136.0.5 |
| WP Squared | 136.1.7 |
Para verificar la versión actual de un servidor, se puede ejecutar desde la línea de comandos como usuario root:
/usr/local/cpanel/cpanel -VPara aplicar el parche de seguridad de forma inmediata sin esperar la actualización automática programada, el script oficial es:
/scripts/upcp --force
Importante: los servidores que corren versiones sin soporte activo no recibirán parches. Advierten explícitamente que los usuarios en versiones antiguas deben migrar a una rama soportada de forma urgente.
¿Qué pasos seguir si tu servidor ya pudo haber sido comprometido?
Si no sabes con certeza cuándo se aplicó el parche en tus servidores, debes asumir que existió una ventana de exposición. Esto no significa que necesariamente fuiste atacado, pero sí que debes verificarlo activamente.
Los pasos recomendados por los investigadores de seguridad son los siguientes. Primero, auditar los logs de autenticación de en busca de accesos exitosos que no correspondan a usuarios legítimos conocidos. Segundo, revisar la actividad administrativa: creación de cuentas, cambios de configuración, exportaciones de datos. Tercero, inspeccionar el sistema de archivos en busca de backdoors, shells subidas o servicios no reconocidos ejecutándose en el servidor. Cuarto, si se encuentran indicadores de compromiso, tratar el servidor como potencialmente comprometido y proceder con un análisis forense completo antes de restablecer el acceso.
¿Tu empresa está en riesgo? Cómo puede ayudarte Tecnoinver
La mayoría de los incidentes de seguridad no se detectan porque el equipo técnico no tuvo tiempo, recursos o la visibilidad necesaria para actuar antes de que el daño ocurriera. En Tecnoinver trabajamos con empresas que enfrentan exactamente este desafío: infraestructura crítica que debe mantenerse segura, sin un equipo de seguridad dedicado las 24 horas.
Frente a vulnerabilidades como CVE-2026-41940, ofrecemos:
- Análisis de vulnerabilidades en servidores con cPanel, WHM y otras plataformas de hosting, identificando versiones afectadas y configuraciones en riesgo
- Auditoría forense de logs para determinar si hubo accesos no autorizados durante la ventana de exposición
- Implementación de parches de seguridad y verificación de integridad post-actualización
- Monitoreo continuo con alertas ante nuevas vulnerabilidades críticas en las plataformas que usa tu empresa
- Evaluación de postura de seguridad para organizaciones que alojan datos sensibles de clientes o datos regulados
Contáctanos en tecnoinver.cl y realicemos juntos una evaluación de tu infraestructura.
Te podría interesar: Cómo crear tu cuenta de correo en cPanel (paso a paso en Tecnoinver)
Referencias
Emmons, R. (2026, 29 de abril). CVE-2026-41940: cPanel & WHM Authentication Bypass [Análisis técnico]. Rapid7 Blog. https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
Help Net Security. (2026, 30 de abril). cPanel zero-day exploited for months before patch release (CVE-2026-41940). https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/
The Hacker News. (2026, 28 de abril). Critical cPanel Authentication Vulnerability Identified — Update Your Server Immediately. https://thehackernews.com/2026/04/critical-cpanel-authentication.html
The Hacker News. (2026, 3 de mayo). Critical cPanel Vulnerability Weaponized to Target Government and MSP Networks. https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html
watchTowr Labs. (2026, 29 de abril). The Internet Is Falling Down — cPanel & WHM Authentication Bypass CVE-2026-41940 [Análisis técnico]. https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/
Cybersecurity Dive. (2026, 30 de abril). Critical vulnerability in cPanel leads to widespread exploitation. https://www.cybersecuritydive.com/news/critical-vulnerability-cpanel-widespread-exploitation/819208/
Cyber Security News. (2026, 2 de mayo). Hackers Breach Government and Military Servers by Exploiting cPanel Vulnerability. https://cybersecuritynews.com/cpanel-vulnerability-exploited/
