¿Qué es exactamente CVE-2026-41940?

CVE-2026-41940 es una vulnerabilidad de tipo authentication bypass (omisión de autenticación) en cPanel y WHM, el panel de control más utilizado por proveedores de hosting compartido en el mundo. En términos simples: un atacante puede llegar a la interfaz de administración de cPanel o WHM sin necesidad de credenciales válidas en determinadas condiciones, según reportes técnicos publicados tras la divulgación de la falla.

El impacto es severo porque WHM otorga control a nivel de servidor: cuentas de clientes, bases de datos, configuraciones del sistema, zonas DNS y correos. En un entorno de hosting compartido, un solo servidor comprometido puede arrastrar consigo decenas o cientos de sitios web. La diferencia práctica para un cliente final está en quién aplica el parche: en un plan de hosting administrado como el plan Pyme de hosting.cl lo hace el proveedor; en VPS o dedicado lo aplicas tú.

Datos técnicos de la vulnerabilidad

¿Qué pueden hacer los atacantes si explotan esta falla?

Una vez que un atacante logra acceso, las consecuencias son amplias. Los análisis de campañas observadas en estado salvaje muestran que los actores maliciosos están aprovechando esta vulnerabilidad para:

• Despliegue de criptomineros que consumen recursos del servidor.
• Instalación de ransomware sobre cuentas alojadas.
• Propagación de botnets a partir del servidor comprometido.
• Implantación de backdoors persistentes como Filemanager (atribuido al grupo Mr_Rot13).
• Robo de credenciales de cuentas de hosting, correos y bases de datos.
• Creación de cuentas administrativas no autorizadas dentro de WHM.

¿Cómo protejo mi servidor cPanel ahora mismo?

1. Actualiza cPanel y WHM de inmediato. Si tienes los canales automáticos activos, ejecuta /scripts/upcp para forzar la actualización. La versión 136.1.7 contiene el parche.
2. Restringe el acceso a WHM/cPanel por IP. Limita la administración a IPs específicas o detrás de una VPN. No expongas WHM a Internet abierto.
3. Audita las llaves SSH autorizadas. Revisa ~/.ssh/authorized_keys en todas las cuentas, especialmente en root. Busca llaves con comentarios sospechosos como cpanel-updater.
4. Monitorea conexiones salientes anómalas. Cualquier conexión inesperada hacia dominios desconocidos o canales de Telegram puede ser señal de exfiltración.
5. Cambia todas las contraseñas administrativas y rota las claves de API si sospechas que el servidor estuvo expuesto.
6. Verifica el archivo /etc/cpupdate.conf para asegurarte de que las actualizaciones automáticas no estén bloqueadas.

Si descubres que tu hosting actual no parchó en las primeras 48 horas, eso es un mal indicador estructural — no de este incidente, sino de cómo responderá al próximo. Para comparar SLAs reales y tiempos de respuesta a incidentes verificados de los proveedores chilenos, comparahosting.cl publica esos datos por proveedor.

¿Cómo verifico si mi versión de cPanel ya está parchada?

Puedes consultar la versión instalada con el siguiente comando en el servidor:

Si la versión es 136.1.7 o superior, la falla CVE-2026-41940 ya está corregida. Cualquier versión anterior dentro del rango afectado requiere parchado inmediato.

¿Por qué esta vulnerabilidad es tan peligrosa?

A diferencia de otras fallas que requieren credenciales válidas o errores específicos del usuario, este bypass permite acceso administrativo remoto sin autenticación. Combinado con que cPanel es un panel ampliamente expuesto a internet, el resultado es una superficie de ataque enorme. Investigadores estiman que más de 40.000 servidores podrían haber estado en riesgo durante la primera ola de explotación. Si tu hosting no aplicó el parche en las primeras 24 horas tras la divulgación, migrar a uno que sí lo hizo suele ser gratuito y sin downtime.