Una vulnerabilidad crítica en cPanel y WHM identificada como CVE-2026-41940 fue explotada activamente como zero-day durante meses, afectando a organizaciones así como gobiernos y proveedores de servicios. Investigadores y organismos confirmaron intentos masivos de explotación antes de su parche oficial.
Una vulnerabilidad crítica identificada como CVE-2026-41940 en el panel para la gestión de servidores basado en Linux cPanel y en WHM fue explotada activamente en ataques reales antes de la publicación de su parche. Así lo reportaron múltiples firmas de seguridad y el propio proveedor. La falla, clasificada con alta severidad (9.8 de 10 en CVSS), permitió a actores maliciosos comprometer sistemas que ejecutaban estas plataformas y que son ampliamente utilizadas en entornos de hosting.
De acuerdo con la información publicada por cPanel, la vulnerabilidad “afecta a todas las versiones posteriores a la 11.40”, pero fue abordada mediante una actualización de seguridad liberada el 28 de abril de 2026, que incluyen las siguientes versiones de cPanel y WHM: 11.86.0.41 y superior; 11.94.0.28 y superior; 11.102.0.39 y superior; 11.110.0.97 y superior; 11.118.0.63 y superior; 11.124.0.35 y superior; 11.126.0.54 y superior; 11.130.0.19 y superior; 11.132.0.29 y superior; 11.134.0.20 y superior; 11.136.0.5 y superior. Además, se publicó un un parche para la versión de WP Squared: 136.1.7 y superiores.
El comunicado la empresa también precisa que “los clientes que aún utilizan CentOS 6 o CloudLinux 6 con la versión 110.0.50, también hemos lanzado la versión 110.0.103 como actualización directa”. Para actualizar esa versión, es necesario ejecutar un comando que permite configurar el nivel de actualización. Las acciones necesarias se incluyen en el comunicado.
Investigaciones difundidas por medios especializados señalaron que la falla fue explotada como zero-day durante un periodo prolongado antes de su divulgación pública. Los reportes indican que actores de amenaza utilizaron la vulnerabilidad para comprometer servidores, incluyendo entornos de proveedores de servicios gestionados (MSP) y entidades gubernamentales. Estas actividades se realizaron antes de que existiera una solución oficial ampliamente distribuida.
Datos adicionales de la plataforma de monitoreo Shadowserver revelan intentos de explotación a gran escala. Dev acuerdo con un post del pasado 1 de mayo, la entidad registraba 44 mil direcciones IP comprometidas, la mayoría de ellas en los Estados Unidos, Francia, el Reino Unido, Países Bajos, la India, Canadá, Australia, Singapur, Alemania y España. En América Latina, este 5 de mayo figuraban Brasil (14), Chile (8), Argentina (4) y Ecuador (4) con instancias comprometidas.
El análisis técnico de la vulnerabilidad, publicado en la base de datos del NVD, confirmó su impacto en mecanismos de autenticación. Según la descripción oficial, la falla corresponde a un problema que permite omitir controles de acceso bajo ciertas condiciones.
En nuestro país, el CSIRT Nacional publicó un reporte especial de alerta de vulnerabilidad crítica (AVC26-00531) el pasado 30 de abril y actualizado para este miércoles 6 de mayo, en el cual se advierte a entidades nacionales que “las versiones de cPanel y WHM posteriores a la 11.40 contienen una vulnerabilidad que permite eludir la autenticación en el proceso de inicio de sesión, lo que permite a atacantes remotos no autenticados obtener acceso no autorizado al panel de control”.
La autoridad nacional recomendó a implementar las correcciones a todas las entidades que se encuentra entre el listado de Operadores de Importancia Vital (OIV) y Prestadores de Servicios Esenciales (PSE).
Reportes de varias firmas de ciberseguridad también vincularon la explotación de esta vulnerabilidad con campañas de ransomware, incluyendo variantes como “Sorry”. Estas operaciones habrían utilizado el acceso obtenido mediante la falla para desplegar cargas maliciosas en sistemas comprometidos, ampliando el impacto más allá del acceso inicial.
Además, se observó la circulación de pruebas de concepto (PoC) tras la divulgación pública de la vulnerabilidad, lo que incrementó el riesgo para sistemas que no habían sido actualizados, acelerando la explotación en entornos no parchados.
Registros en plataformas de análisis de malware, como VirusTotal, también reflejaron muestras asociadas a esta actividad, lo que permitió identificar artefactos utilizados en los ataques. Estas evidencias contribuyen a rastrear la propagación de campañas y a comprender las técnicas empleadas en la explotación de la vulnerabilidad.
La respuesta de cPanel incluyó la recomendación de aplicar las actualizaciones disponibles de forma inmediata. En su comunicación, la compañía enfatizó que las versiones corregidas incorporan medidas para bloquear el vector de ataque identificado, reduciendo la superficie de exposición para los sistemas afectados.