Una vulnerabilidad crítica de omisión de autenticación en cPanel & WHM está siendo explotada activamente en todo el internet, poniendo en riesgo aproximadamente 1.5 millones de servidores. Identificada como CVE-2026-41940 y calificada con un CVSS de 9.8 (Crítico), esta falla permite que un atacante remoto obtenga acceso administrativo completo a los servidores afectados sin necesitar ninguna credencial.
¿Qué es la vulnerabilidad?
CVE-2026-41940 es una omisión de autenticación causada por una falla de inyección CRLF en el proceso de inicio de sesión de cPanel & WHM. Al inyectar caracteres de retorno de carro y salto de línea en encabezados HTTP específicos, un atacante no autenticado puede manipular el flujo de autenticación y obtener una sesión válida como cualquier usuario, incluyendo acceso de root a WHM.
La vulnerabilidad afecta a todas las versiones de cPanel/WHM posteriores a la v11.40, lo que significa que prácticamente cualquier instalación moderna está en riesgo. WebPros International, la empresa detrás de cPanel, lanzó un parche el 28 de abril de 2026, pero la explotación ya estaba en curso desde al menos el 23 de febrero de 2026, dejando una ventana de varios meses de abuso como día cero.
¿Quién está siendo atacado?
Esta no es una amenaza teórica. Varios grupos de actores maliciosos han sido observados explotando CVE-2026-41940 en la realidad, atacando:
- Infraestructura web de organismos gubernamentales
- Proveedores de servicios gestionados (MSPs) y empresas de hosting
- Pequeñas y medianas empresas que operan entornos de hosting compartido
Los atacantes han utilizado el acceso para comprometer servidores, desfigurar sitios web y cifrar datos para ransomware. La Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) agregó CVE-2026-41940 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que subraya la urgencia del problema.
¿Por qué es tan peligrosa?
cPanel & WHM impulsa una parte significativa del hosting web compartido en el mundo. Un solo servidor WHM comprometido le puede dar a un atacante control sobre cientos de sitios web de clientes alojados en ese servidor. La combinación de:
- Una puntuación CVSS de 9.8 (casi el máximo posible)
- Explotación sin necesidad de autenticación
- Explotabilidad remota a través de internet
- 1.5 millones de instancias expuestas
…hace de esta una de las vulnerabilidades más peligrosas divulgadas en 2026.
Cómo solucionarlo
La solución principal es simple: actualiza cPanel & WHM a la versión más reciente lanzada a partir del 28 de abril de 2026. WebPros International envió el parche automáticamente a los sistemas configurados para actualizaciones automáticas, pero de todas formas debes verificar tu versión.
Si no puedes parchear de inmediato, aplica estas mitigaciones provisionales:
- Restringe el acceso al inicio de sesión de WHM y cPanel a direcciones IP de confianza usando la función de restricción de IPs de cPanel o el firewall de tu servidor (por ejemplo, CSF/iptables).
- Revisa los registros de acceso recientes de WHM en busca de inicios de sesión no autorizados, especialmente desde IPs desconocidas.
- Activa la autenticación de dos factores (2FA) en todas las cuentas de cPanel y WHM.
- Monitorea cambios inesperados en archivos, nuevos cron jobs o cuentas de usuario desconocidas que puedan indicar actividad post-explotación.
Actúa ya
Dado que la explotación está activa y la cantidad de servidores expuestos es enorme, no hay tiempo que perder. Cada hora que una instancia vulnerable de cPanel siga sin parchear es una oportunidad para que un atacante gane acceso a tu infraestructura. Verifica tu versión, aplica el parche y revisa tus registros hoy mismo.
En Solvanta ayudamos a las empresas a mantener su infraestructura protegida y segura, desde evaluaciones de vulnerabilidades y gestión de parches hasta monitoreo continuo. Si no estás seguro de si tus servidores están expuestos o necesitas ayuda para reforzar tu entorno de hosting, contáctanos.