🚨 Alerta de seguridad · 9 mayo 2026

¿Qué son los 3 nuevos CVEs de cPanel descubiertos después del ataque ransomware de mayo 2026?

Dos semanas después del CVE-2026-41940 que comprometió 44.000 servidores, cPanel publica un segundo parche de emergencia. Tres nuevas vulnerabilidades, dos con CVSS 8.8, y un patrón que toda empresa con hosting debe entender.

📅 9 mayo 2026⏱ 8 min lectura🔴 Severidad crítica
📌 Resumen rápido

Pasa esto: el 8 de mayo de 2026, cPanel publicó su segundo parche de emergencia en 10 días. Cubre tres vulnerabilidades nuevas: CVE-2026-29201 (lectura arbitraria de archivos, CVSS 4.3), CVE-2026-29202 (ejecución arbitraria de código Perl, CVSS 8.8) y CVE-2026-29203 (escalada de privilegios por symlink inseguro, CVSS 8.8).

Qué hacer ahora: ejecutar /scripts/upcp como root, reiniciar cpsrvd, y revisar logs de acceso desde el 23 de febrero por si hubo compromiso previo.

El contexto: por qué este parche no es uno más

Para entender por qué estos tres CVEs importan más de lo que sugieren sus puntuaciones individuales, hay que mirar lo que pasó en las dos semanas previas.

El 28 de abril de 2026, cPanel publicó un parche de emergencia para CVE-2026-41940 — una falla de autenticación con CVSS 9.8 que permitía a atacantes remotos no autenticados ganar acceso administrativo a cPanel y WHM. La vulnerabilidad había sido explotada como zero-day desde finales de febrero, dando a los atacantes una ventaja de casi dos meses antes de que existiera una solución.

El resultado fue inmediato y grave: al menos 44.000 direcciones IP con cPanel fueron comprometidas en ataques activos. Los hackers usaron la falla para desplegar un encriptador Linux escrito en Go, parte de una cepa de ransomware llamada "Sorry".

⚠️ Patrón identificado

Dos TSR de emergencia en 10 días no es normal. Es lo que los equipos de seguridad reconocen como un "ciclo de remediación concentrado": un parche crítico inicial dispara una auditoría más profunda del código adyacente, y esa auditoría revela problemas que estaban deprioritizados o sin descubrir. La aparición de los tres nuevos CVEs no es mala suerte — es el resultado esperado de cPanel auditando su código bajo presión.

Los tres nuevos CVEs, uno por uno

CVE-2026-29201 — Lectura arbitraria de archivos (CVSS 4.3)

Qué es: una validación insuficiente del nombre de archivo de feature en la llamada adminbin feature::LOADFEATUREFILE que permite leer archivos arbitrarios del servidor.

Qué significa en la práctica: un atacante autenticado puede manipular el parámetro del nombre de archivo para leer archivos del servidor a los que no debería tener acceso. Aunque esto no otorga acceso root directamente, la información recolectada —archivos de configuración, credenciales, rutas internas— puede usarse para preparar ataques más dañinos.

Severidad: Moderada. Menor urgencia que los otros dos, pero igual de obligatorio en el entorno actual.

CVE-2026-29202 — Ejecución arbitraria de código Perl (CVSS 8.8)

Qué es: validación insuficiente del parámetro plugin en la API create_user que permite ejecutar código Perl arbitrario con los privilegios del usuario autenticado.

Qué significa en la práctica: este es el más peligroso de los tres. Un usuario autenticado —que en un servidor compartido puede ser cualquier titular de cuenta— puede inyectar código Perl arbitrario a través de la API create_user. El código Perl ejecutándose en el contexto de cPanel tiene acceso significativo a nivel de sistema. En hosting compartido, un inquilino puede ejecutar código que afecte a la máquina entera.

Severidad: Alta (CVSS 8.8). Requiere autenticación, pero en hosting compartido esa barrera es trivial: cualquier cuenta es suficiente.

CVE-2026-29203 — Escalada de privilegios por symlink inseguro (CVSS 8.8)

Qué es: manejo inseguro de symlinks que permite a un usuario modificar permisos de archivos arbitrarios usando chmod, lo que puede causar denegación de servicio o escalada de privilegios.

Qué significa en la práctica: creando un symlink que apunta a un archivo sensible del sistema y disparando una operación chmod a través de cPanel, un atacante puede cambiar permisos de archivos que no debería poder tocar. Esto puede llevar a escalada de privilegios o denegación de servicio si se vuelven inaccesibles archivos críticos.

Severidad: Alta (CVSS 8.8). Combinado con CVE-2026-29202, ambos pueden encadenarse: primero ejecutar código para crear el symlink, luego usar la escalada chmod para profundizar el acceso.

Las tres vulnerabilidades en una mirada

CVE Tipo CVSS Severidad Requiere auth
CVE-2026-29201 Lectura arbitraria de archivos 4.3 Moderada
CVE-2026-29202 Ejecución de código Perl 8.8 Alta
CVE-2026-29203 Escalada vía symlink 8.8 Alta

Cómo parchear: comandos exactos

El proceso de actualización es el estándar de cPanel, pero hay detalles que conviene confirmar. Estos comandos se ejecutan como root vía SSH.

1. Actualización estándar

root@servidor ~ 
# Aplicar el TSR del 8 de mayo
/scripts/upcp

2. Si los updates automáticos están desactivados o estás en un tier fijado

root@servidor ~ 
/scripts/upcp --force

3. Para servidores CloudLinux 6

root@cloudlinux6 ~ 
sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf
/scripts/upcp

4. Reiniciar cpsrvd después del parche

root@servidor ~ 
/scripts/restartsrv_cpsrvd

5. Verificar la versión instalada

root@servidor ~ — verificación 
/usr/local/cpanel/cpanel -V
# Confirma que la versión coincide con el release del advisory

¿También deberías chequear compromiso previo?

Si tu servidor corrió una versión sin parchear de cPanel entre finales de febrero y el 28 de abril, debes tratarlo como potencialmente comprometido y hacer una investigación forense, no solo aplicar el parche.

Los pasos forenses recomendados incluyen:

  • Auditar logs de acceso desde el 23 de febrero de 2026. Revisa /usr/local/cpanel/logs/access_log y /usr/local/cpanel/logs/login_log en busca de patrones de autenticación anómalos desde IPs inesperadas.
  • Escaneo recursivo de archivos .sorry. Esta es la extensión que añade el ransomware tras encriptar. Su presencia confirma despliegue del malware.
  • Revisar accounts que hayan ejecutado create_user de forma anómala o desde IPs no habituales.
root@servidor ~ — escaneo forense 
# Buscar archivos encriptados por ransomware
find /home -name "*.sorry" -type f 2>/dev/null

# Revisar últimos accesos sospechosos a cPanel
tail -n 500 /usr/local/cpanel/logs/access_log | grep -v "127.0.0.1"

El patrón más amplio: ¿qué está pasando con cPanel?

Lo que está sucediendo con cPanel en mayo de 2026 es parte de una tendencia más amplia que afecta al panorama completo de seguridad en hosting web.

2
TSR de emergencia en 10 días
44K
servidores comprometidos por CVE-2026-41940
~2 meses
de zero-day activo antes del parche
70M
dominios usan infraestructura cPanel

Tres de las vulnerabilidades de kernel Linux más graves de los últimos años —Copy Fail (CVE-2026-31431) y Dirty Frag (CVE-2026-43284/43500)— se publicaron en un lapso de ocho días entre finales de abril y principios de mayo. El ataque ransomware a cPanel expuso más de 44.000 servidores. Y ahora tres CVEs más caen apenas días después del primer parche de emergencia.

Esta concentración de divulgaciones no es coincidencia. La investigación de seguridad asistida por IA está encontrando vulnerabilidades más rápido de lo que los procesos de divulgación coordinada pueden manejar. La ventana entre que una vulnerabilidad se vuelve conocida para los atacantes y se explota en producción se está reduciendo de semanas a días.

Checklist de respuesta

AcciónPrioridad
Ejecutar /scripts/upcp para aplicar el TSR del 8 de mayo🔴 Inmediato
Reiniciar cpsrvd tras el parche🔴 Inmediato
Verificar la versión parcheada con /usr/local/cpanel/cpanel -V🔴 Inmediato
Revisar logs de acceso desde 23/feb🟡 Hoy
Escanear archivos .sorry en directorios home🟡 Hoy
Activar actualizaciones automáticas si están desactivadas🟢 Esta semana
Auditar cuentas que hayan llamado create_user de forma anómala🟢 Esta semana

Preguntas frecuentes

¿Mi sitio web puede ser hackeado si no parchéo cPanel?
Si tu servidor tiene cPanel/WHM expuesto a internet y no está parcheado, sí. Las tres vulnerabilidades requieren autenticación, pero en hosting compartido cualquier cuenta con credenciales sirve. Si el atacante encadena CVE-2026-29202 con CVE-2026-29203, puede escalar privilegios y comprometer el servidor entero.
¿Cómo sé si mi hosting ya aplicó el parche?
Si usas hosting administrado (shared, reseller), tu proveedor debería haberlo aplicado automáticamente en las primeras 24-48 horas después del lanzamiento. Pregunta directo: "¿Está el servidor en la versión post-TSR del 8 de mayo de 2026?". Una respuesta honesta y técnica es señal de buen proveedor.
Tengo VPS con cPanel. ¿Es mi responsabilidad parchearlo?
Sí. En VPS y servidores dedicados unmanaged, la responsabilidad del parcheo es 100% del cliente. Conéctate vía SSH como root y ejecuta los comandos de la sección anterior.
Si tengo hosting compartido en hosting.cl, ¿estoy expuesto?
No. Como cPanel Partner, hosting.cl aplica las actualizaciones de seguridad de WHM de forma automática y centralizada en toda su infraestructura. Si estás en hosting compartido con un proveedor administrado serio (hosting.cl, planetahosting.cl), el parche ya se aplicó. Si tienes VPS o servidor dedicado unmanaged, la responsabilidad sigue siendo tuya.
💡 Lección operativa

Las actualizaciones automáticas deben estar siempre activas. La verificación de versión debe formar parte del checklist de mantenimiento. Y la revisión de logs después de cada incidente grave ya no es opcional — es estándar de cuidado en 2026. Si administras tu propio servidor, considera migrar a un hosting administrado donde el parcheo lo haga el proveedor.

Fuentes y referencias