CVE-2026-41940: fallo crítico en cPanel explotado

Un grave fallo de seguridad en cPanel y WHM está siendo explotado activamente por atacantes, según Security.NL. Las actualizaciones de seguridad estuvieron disponibles el 28 de abril de 2026, pero la explotación habría comenzado ya el 23 de febrero de 2026.

¿Qué son cPanel y WHM?

cPanel es un panel de control que se utiliza para gestionar cuentas de alojamiento web individuales. WHM (WebHost Manager) es la interfaz que los proveedores de alojamiento utilizan para administrar servidores y crear cuentas de cPanel. Según Security.NL, alrededor de 1,5 millones de instalaciones de cPanel son accesibles desde internet.

¿En qué consiste la vulnerabilidad?

El fallo, identificado como CVE-2026-41940, está catalogado como crítico. Permite que un atacante que no ha iniciado sesión eluda por completo el proceso de autenticación y obtenga acceso de administrador a un servidor.

Según Security.NL, el funcionamiento es sencillo: antes de que se produzca la autenticación, el sistema escribe un archivo de sesión. Un atacante puede escribir valores arbitrarios en ese archivo, como declararse usuario root, y después recargar el archivo para obtener acceso completo. No se necesita ninguna contraseña.

¿Por qué es urgente?

Varios factores hacen que esta situación sea más apremiante que una actualización de software habitual:

• Según Security.NL, la explotación habría estado produciéndose desde el 23 de febrero de 2026, mucho antes de que el parche se publicara el 28 de abril de 2026
• La empresa de seguridad watchTowr ha publicado un exploit de prueba de concepto, lo que significa que el método de ataque ya es de dominio público
• La empresa de seguridad Rapid7 advierte de que una explotación a gran escala es inminente como consecuencia de ello
• Según Security.NL, las versiones de cPanel que han llegado al fin de su vida útil también están afectadas, pero no recibirán parche

cPanel publicó una actualización de seguridad el 28 de abril de 2026, junto con scripts de detección para ayudar a identificar si un sistema ya ha sido comprometido.

¿Qué debe hacer?

Si su sitio web funciona en una cuenta de alojamiento gestionada a través de cPanel o WHM, el paso más importante es ponerse en contacto con su proveedor de alojamiento y preguntarle si ha aplicado la actualización de seguridad para CVE-2026-41940. No es necesario conocer los detalles técnicos para hacer esa pregunta. Si su proveedor de alojamiento utiliza una versión de cPanel que ha llegado al fin de su vida útil, pregúntele cuáles son sus planes para migrar a una versión con soporte.

También puede consultar nuestra lista de verificación de seguridad para pequeñas empresas para conocer medidas prácticas que le ayuden a mantener su sitio web protegido.

¿Qué significa esto para su sitio web?

Si su sitio web está alojado en una cuenta basada en cPanel, su proveedor de alojamiento es el responsable de aplicar este parche, pero merece la pena comprobarlo directamente con él. Una cuenta de alojamiento comprometida podría dar a un atacante control total sobre su sitio web, incluido el acceso a datos de clientes o la posibilidad de modificar su contenido. Mantener el contacto con su proveedor de alojamiento durante incidentes de seguridad activos como este es una medida sencilla y prudente.