Tecnología

Una falla de inicio de sesión dejó 70 millones de webs de cPanel abiertas para cualquiera

La falla ya se estaba explotando antes de que cPanel pudiera publicar el parche. Los grandes proveedores de hosting cortaron el acceso a los puertos de administración mientras desplegaban la actualización — el resto de internet aún está tratando de ponerse al día.
Una falla de inicio de sesión dejó 70 millones de webs de cPanel abiertas para cualquiera
cPanel bug
Susan Hill
abril 29, 2026 at 6:32 pm

Una falla crítica de bypass de autenticación en cPanel y WHM les permitió a los atacantes entrar por la puerta principal de cualquier panel de control expuesto a internet sin necesidad de usuario ni contraseña. La vulnerabilidad, registrada como CVE-2026-41940 con un puntaje CVSS de 9,8 sobre 10, afectó a todas las versiones soportadas del software, que administra cerca de 70 millones de dominios en todo el mundo. Los investigadores de seguridad confirmaron que ya circulaban exploits activos cuando se publicó el parche de emergencia — para muchos hostings, la pregunta dejó de ser si sus servidores eran vulnerables, y pasó a ser si fueron comprometidos antes de que la actualización pudiera aplicarse.

La vulnerabilidad reside en la lógica de carga y guardado de sesiones de cPanel, registrada internamente como CPANEL-52908. En la práctica, un atacante podía mandar un pedido de login mal formado y recibir credenciales de sesión válidas para una cuenta a la que nunca se había autenticado — incluyendo, en el peor caso, acceso de root a WHM, el panel del lado del servidor que controla cuentas de hosting, ruteo de correo, certificados SSL y bases de datos. Seis ramas de versión necesitaron parche urgente: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 y 11.136.0.5. Los servidores que todavía corren versiones de cPanel fuera de soporte no van a recibir ningún parche y deben tratarse como activamente comprometidos.

cPanel es la capa estándar de panel de control para la infraestructura de hosting compartido que sostiene buena parte de la web de consumo. Una intrusión exitosa contra un solo servidor cPanel puede expandirse hacia miles de sitios subordinados — todos los dominios alojados en esa máquina, sumado al correo, las bases de datos y los archivos de cliente. El equipo de investigación de watchTowr Labs describió a los sistemas afectados como el plano de gestión de una porción significativa de internet, y un proveedor, KnownHost, confirmó que la explotación ya estaba ocurriendo antes de que se publicara cualquier aviso.

Spotify Premium sumó 1.400 entrenamientos de Peloton gratis y sin necesidad de bici

Namecheap, uno de los reseller hosts más grandes de la plataforma, tomó la medida poco común de bloquear temporalmente el acceso a los puertos 2083 y 2087 — los puntos de entrada web de cPanel y WHM — para todos sus clientes mientras desplegaba el parche. Cuando la actualización llegó a las flotas Reseller y Stellar Business de la compañía, la plataforma había estado prácticamente apagada desde afuera durante varias horas. Otros grandes proveedores publicaron avisos parecidos, y le recomendaron a sus clientes correr /scripts/upcp –force como root para forzar la actualización en vez de esperar a la ventana automática de mantenimiento.

La alarma viene con asteriscos. La propia cPanel no publicó detalles técnicos profundos sobre la vulnerabilidad — la mayor parte del análisis público proviene de investigadores externos haciendo ingeniería inversa del parche, así que las condiciones exactas de explotación siguen parcialmente cubiertas. La cifra de “70 millones de dominios” es una estimación de larga data del propio material de marketing de cPanel e incluye cuentas de hosting compartido en las que un solo servidor de panel administra miles de sitios; el número real de servidores únicos afectados es bastante menor. Y aunque la explotación se confirmó antes del parche, todavía no se hizo pública ninguna brecha grande atribuida a esta CVE — eso puede cambiar en las próximas semanas a medida que se cierren las investigaciones forenses, o puede no cambiar.

El episodio entró en un patrón que los investigadores de seguridad vienen señalando hace años: la capa de gestión del hosting de consumo es uno de los blancos de mayor valor y menor escrutinio de internet. Una falla en un único componente de panel de control puede entregarle al atacante las llaves de miles de sitios chicos y de pymes con defensas mínimas al mismo tiempo, sin necesitar cadenas de explotación exóticas. Los bugs de bypass de autenticación en software del estilo cPanel se cotizan caro en mercados clandestinos, y la diferencia entre la divulgación y la cobertura completa del parche se mide en semanas para los servidores independientes no administrados — mucho después de que el ciclo público de las noticias siguió avanzando.

cPanel publicó los parches de emergencia el 28 de abril, y Namecheap y otros grandes proveedores completaron despliegues en las primeras horas del 29 de abril. Los administradores de servidores cPanel o WHM deberían verificar de inmediato si están en alguna de las builds parcheadas, y tratar como potencialmente comprometido cualquier servidor que haya estado corriendo una versión vulnerable expuesta a internet en los días previos al parche. cPanel no se comprometió a publicar un informe público post-incidente.

Más como esto

GPT-5.5 acaba de aterrizar en AWS y rompe siete años de monopolio de Microsoft sobre OpenAI

GPT-5.5 acaba de aterrizar en AWS y rompe siete años de monopolio de Microsoft sobre OpenAI

Motorola dice que su Razr Ultra de 1.499 dólares se cargó para todo el día en 8 minutos

Motorola dice que su Razr Ultra de 1.499 dólares se cargó para todo el día en 8 minutos

Debate

Hay 0 comentarios.