Una vulnerabilidad crítica de bypass de autenticación en cPanel & WHM ha sido confirmada como activamente explotada en la naturaleza, generando alarma en la industria global de alojamiento web. La falla, identificada como CVE-2026-41940, permite a atacantes no autenticados eludir por completo los mecanismos de inicio de sesión, lo que podría otorgar acceso de nivel root a los paneles de control de hosting afectados. Se ha publicado una prueba de concepto (PoC) pública del exploit [...]

Una vulnerabilidad crítica de bypass de autenticación en cPanel & WHM ha sido confirmada como explotada activamente en la naturaleza, enviando ondas de choque a través de la industria global de alojamiento web.

La falla, rastreada como CVE-2026-41940, permite a atacantes no autenticados eludir por completo los mecanismos de inicio de sesión, otorgando potencialmente acceso de nivel root a los paneles de control de alojamiento afectados.

Un exploit de prueba de concepto (PoC) público ha sido publicado por investigadores de seguridad de watchTowr, aumentando drásticamente la urgencia de aplicar parches de inmediato.

Vulnerabilidad 0-Day de Bypass de Autenticación en cPanel

La vulnerabilidad reside en la capa de autenticación del software cPanel & WHM, incluyendo implementaciones DNSOnly.

Según el aviso oficial de seguridad de cPanel, el problema afecta a todas las versiones posteriores a la 11.40, una enorme superficie de ataque dado el dominio de cPanel en el mercado de alojamiento compartido a nivel mundial.

La falla implica una inyección CRLF encadenada con la filtración de tokens de sesión, permitiendo a un atacante preautenticado secuestrar un token de sesión, propagarlo a través de la caché interna del servidor y, en última instancia, obtener acceso root a WHM — todo sin credenciales válidas.

El investigador de watchTowr Sina Kheirkhah (@SinSinology) publicó un generador de artefactos de detección que demuestra la cadena de explotación en cuatro pasos distintos:

1. Crear una sesión preautenticación para obtener un identificador de sesión base
2. Enviar una carga útil de inyección CRLF (autenticación básica + cookie no-ob) para filtrar un token de sesión válido mediante una redirección HTTP 307
3. Ejecutar una solicitud do_token_denied para propagar el token sin procesar en la caché del lado del servidor
4. Acceder a /json-api/version para confirmar el acceso root a WHM, devolviendo HTTP 200 con la divulgación completa de la versión

La herramienta PoC authbypass-RCE.py apunta al puerto 2087 (WHM) y confirma con éxito la explotación en instancias vulnerables que ejecutan versiones como la 11.110.0.89 y anteriores.

Los informes indican que la vulnerabilidad fue divulgada de forma privada a cPanel aproximadamente dos semanas antes de que se observara la explotación pública.

Sin embargo, los ataques confirmados en la naturaleza obligaron a cPanel a acelerar la implementación de su parche, con el aviso inicial publicado el 28 de abril de 2026 a las 12:05 PM CST.

El aviso fue actualizado múltiples veces en un plazo de 48 horas para incluir versiones parcheadas, pasos de mitigación revisados y un script de detección — reflejando la naturaleza de rápida evolución del incidente.

Varios proveedores globales de alojamiento han reportado haber desconectado paneles de control basados en cPanel como medida preventiva para evitar accesos no autorizados masivos.

Versiones Parcheadas

cPanel ha lanzado parches de emergencia para las siguientes versiones:

• 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.126.0.54
• 11.130.0.19, 11.132.0.29, 11.134.0.20, 11.136.0.5

Para implementaciones WP Squared (WP2), la versión parcheada es la 136.1.7.

Los administradores deben priorizar las siguientes acciones sin demora:

1. Forzar la actualización inmediatamente usando: /scripts/upcp --force
2. Verificar la versión de compilación con /usr/local/cpanel/cpanel -V y reiniciar cpsrvd: /scripts/restartsrv_cpsrvd
3. Actualizar manualmente los servidores con actualizaciones automáticas deshabilitadas o anclados — estos no recibirán el parche automáticamente y representan los sistemas de mayor riesgo en cualquier entorno
4. Si no es posible aplicar el parche de inmediato, aplicar una de estas mitigaciones:

• Bloquear el tráfico entrante en los puertos 2083, 2087, 2095 y 2096 a nivel de firewall
• Detener completamente los servicios cpsrvd y cpdavd mediante comandos de la API de WHM

Los servidores que ejecutan versiones no compatibles de cPanel y que no son elegibles para el parche actual deben ser tratados como comprometidos hasta que se demuestre lo contrario y escalados para actualizaciones de versión de emergencia.

Con cPanel alimentando un estimado de millones de cuentas de alojamiento a nivel global en entornos compartidos y VPS, el radio de impacto de CVE-2026-41940 es sustancial.

Las vulnerabilidades de bypass de autenticación a nivel de panel de control son particularmente peligrosas porque exponen no solo un sitio web, sino ecosistemas completos de servidores, incluyendo todos los dominios alojados, cuentas de correo, bases de datos y sistemas de archivos.

La publicación pública de un PoC funcional reduce significativamente la barrera para la explotación, y se espera que actores de amenazas oportunistas lo incorporen en campañas de escaneo masivo de manera inminente.