Tecnología

Un fallo de inicio de sesión deja 70 millones de webs de cPanel abiertas a cualquiera

El fallo ya estaba siendo explotado antes de que cPanel pudiera publicar el parche. Las grandes hostings cortaron acceso a los puertos de administración mientras desplegaban la actualización — el resto de internet aún está poniéndose al día.
Un fallo de inicio de sesión deja 70 millones de webs de cPanel abiertas a cualquiera
cPanel bug
Susan Hill
29 abril 2026 - 18:32

Un fallo crítico de bypass de autenticación en cPanel y WHM permitía a los atacantes entrar por la puerta principal de cualquier panel de control expuesto a internet sin necesidad de usuario ni contraseña. La vulnerabilidad, registrada como CVE-2026-41940 con una puntuación CVSS de 9,8 sobre 10, afecta a todas las versiones soportadas del software, que gestiona alrededor de 70 millones de dominios en todo el mundo. Los investigadores de seguridad confirman que ya había exploits activos circulando antes de que se publicara el parche de emergencia — para muchas hostings, la pregunta ya no es si sus servidores son vulnerables, sino si fueron comprometidos antes de poder actualizar.

La vulnerabilidad reside en la lógica de carga y guardado de sesiones de cPanel, registrada internamente como CPANEL-52908. En términos prácticos, un atacante podía enviar una petición de login malformada y recibir credenciales de sesión válidas para una cuenta a la que nunca se había autenticado — incluyendo, en el peor caso, acceso de root a WHM, el panel de servidor que controla cuentas de hosting, enrutamiento de correo, certificados SSL y bases de datos. Seis ramas de versión necesitaban parche urgente: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 y 11.136.0.5. Los servidores que aún corren versiones de cPanel fuera de soporte no recibirán parche en absoluto y deben tratarse como activamente comprometidos.

cPanel es la capa estándar de panel de control para la infraestructura de hosting compartido en gran parte de la web de consumo. Una brecha exitosa contra un único servidor cPanel puede propagarse a miles de sitios subordinados — todos los dominios alojados en esa máquina, además de su correo, sus bases de datos y los archivos de cliente. El equipo de investigación de watchTowr Labs describió los sistemas afectados como el plano de gestión de una parte significativa de internet, y un proveedor, KnownHost, confirmó que la explotación ya estaba ocurriendo en libertad antes de que se publicase ningún aviso.

Una Brecha en Facebook Afecta a 50 millones de Cuentas

Namecheap, una de las mayores hostings reseller de la plataforma, tomó la medida inusual de bloquear temporalmente el acceso a los puertos 2083 y 2087 — los puntos de entrada web de cPanel y WHM — para todos sus clientes mientras desplegaba el parche. Cuando la actualización llegó a las flotas Reseller y Stellar Business de la compañía, la plataforma había estado efectivamente apagada desde el exterior durante varias horas. Otros grandes proveedores publicaron avisos similares, recomendando a sus clientes ejecutar /scripts/upcp –force como root para forzar la actualización en lugar de esperar a la ventana automática de mantenimiento.

La alarma viene con matices. La propia cPanel no ha publicado detalles técnicos profundos sobre la vulnerabilidad — la mayoría del análisis público proviene de investigadores externos haciendo ingeniería inversa del parche, lo que significa que los requisitos exactos para explotar el fallo siguen parcialmente velados. La cifra de «70 millones de dominios» es una estimación de larga data del propio material de marketing de cPanel, e incluye cuentas de hosting compartido en las que un mismo servidor de panel gestiona miles de webs; el número de servidores únicos afectados es mucho menor. Y aunque la explotación está confirmada antes del parche, todavía no se ha hecho pública ninguna brecha de gran calado atribuida a esta CVE — eso puede cambiar en las próximas semanas conforme se cierren las investigaciones forenses, o puede no cambiar.

El episodio encaja en un patrón que los investigadores de seguridad llevan años señalando: la capa de gestión de hosting de consumo es uno de los objetivos de mayor valor y menor escrutinio de internet. Un fallo en un único componente de panel de control puede entregar al atacante las llaves de miles de sitios pequeños y de pymes con defensas mínimas a la vez, sin requerir cadenas de explotación exóticas. Los bugs de bypass de autenticación en software tipo cPanel se cotizan alto en mercados oscuros, y el desfase entre la divulgación y la cobertura completa de parche se mide en semanas para los servidores independientes no gestionados — mucho después de que el ciclo público de noticias haya seguido adelante.

cPanel publicó los parches de emergencia el 28 de abril, y Namecheap y otros grandes proveedores completaron despliegues en las primeras horas del 29 de abril. Los administradores de servidores cPanel o WHM deberían verificar de inmediato que están en uno de los builds parcheados, y tratar como potencialmente comprometido cualquier servidor que haya estado expuesto a internet con una versión vulnerable en los días previos al parche. cPanel no se ha comprometido a publicar un informe post-incidente público.

Más como esto

Ciberataque global y Wanna Cry y Ransomware y Ciberseguridad

Ciberataque global y Wanna Cry y Ransomware y Ciberseguridad

Seguridad informática, hackeos e ilusión de seguridad

Seguridad informática, hackeos e ilusión de seguridad

Radiografía del perfil del ciberatacante, según IMF Business School

Radiografía del perfil del ciberatacante, según IMF Business School

Nuevos ciberataques de Ransomware previstos

Nuevos ciberataques de Ransomware previstos

Whatasapp. Nuevo riesgo de phishing

Whatasapp. Nuevo riesgo de phishing

¿Qué es un ataque DDoS? Ciberataques a Twitter, Nettflix y otros…

¿Qué es un ataque DDoS? Ciberataques a Twitter, Nettflix y otros…

Debate

Hay 0 comentarios.