Es más, los atacantes no tuvieron que esperar a que los investigadores de seguridad de watchTowr publicaran detalles técnicos sobre la vulnerabilidad: se les ha detectado explotando la vulnerabilidad CVE-2026-41940 desde el 23 de febrero, y probablemente la hayan estado explotando incluso antes.
Acerca de CVE-2026-41940
cPanel, generalmente proporcionado por empresas de alojamiento compartido, es uno de los paneles de control de alojamiento más utilizados. WHM (Web Host Manager) es utilizado por los proveedores de alojamiento para administrar múltiples cuentas de cPanel en un servidor.
La vulnerabilidad CVE-2026-41940 se debe a la falta de autenticación para una función crítica y permite que atacantes remotos no autenticados obtengan acceso no autorizado al panel de control.
“Antes de que se produzca la autenticación, cpsrvd (el demonio del servicio cPanel) escribe un nuevo archivo de sesión en el disco. La vulnerabilidad permite a un atacante manipular la cookie whostmgrsession omitiendo un segmento esperado del valor de la cookie, evitando así el proceso de cifrado que normalmente se aplica a un valor proporcionado por el atacante”, explicó Ryan Emmons, investigador de Rapid7 .
Los atacantes pueden inyectar caracteres \r\n sin procesar mediante una cabecera de autorización básica maliciosa, y el sistema escribe posteriormente el archivo de sesión sin sanitizar los datos. Como resultado, el atacante puede insertar propiedades arbitrarias, como user=root , en su archivo de sesión. Tras provocar una recarga de la sesión desde el archivo, el atacante obtiene acceso de administrador para su token.
Divulgación de la explotación y la vulnerabilidad en entornos naturales.
WebPros International LLC, la empresa que desarrolla cPanel, publicó un aviso de seguridad sobre la vulnerabilidad CVE-2026-41940 el 28 de abril y lanzó actualizaciones de seguridad unas horas después.
Según Daniel Pearson, director ejecutivo del proveedor de alojamiento gestionado KnownHost, fueron notificados de esto casi al mismo tiempo. Inmediatamente comenzaron a bloquear los puertos de inicio de sesión de WHM/cPanel en toda la red de KnownHost y luego comenzaron a implementar las actualizaciones de seguridad.
Otros proveedores de alojamiento web hicieron lo mismo.
El cronograma de divulgación de CVE-2026-41940 es algo confuso. Según una fuente de webhosting.today , la vulnerabilidad “se había reportado a cPanel aproximadamente dos semanas antes del aviso público del 28 de abril, y (…) la respuesta inicial de cPanel fue que no había ningún problema”.
No está claro si el periodista tenía conocimiento de la explotación de la vulnerabilidad en la práctica. Tampoco está claro por qué WebPros no comunicó antes la existencia de una vulnerabilidad tan crítica a los proveedores de alojamiento ni proporcionó medidas de mitigación mientras trabajaban en las soluciones.
¿Qué hacer?
La vulnerabilidad CVE-2026-41940 afecta a todas las versiones de cPanel y WHM posteriores a la v11.40, y a la v136.1.7 de WP Squared, una plataforma de alojamiento administrado de WordPress basada en cPanel.
“La explotación exitosa de CVE-2026-41940 otorga a un atacante el control sobre el sistema host cPanel, sus configuraciones y bases de datos, y los sitios web que administra”, señaló Emmons de Rapid7, y agregó que Shodan muestra aproximadamente 1,5 millones de instancias de cPanel expuestas a Internet (aunque se desconoce cuántas de ellas son vulnerables).
El aviso de seguridad recomienda actualizar a una versión parcheada de cPanel, verificar la versión de compilación de cPanel y reiniciar el servicio de cPanel ( cpsrvd ).
Las medidas de mitigación incluyen el bloqueo del tráfico entrante en los puertos 2083, 2087, 2095 y 2096 en el cortafuegos y la detención de los servicios cpsrvd y cpdavd .
La empresa también ha proporcionado un script para que los clientes busquen indicadores conocidos de vulneración de seguridad.
“Al menos en nuestra red y en los casos que he revisado, cualquier intento de explotación se ha limitado a ‘déjenme ver si esto funciona’ y luego no se han realizado otros cambios o intentos más allá de eso”, dijo Pearson a los clientes.
“Tras una revisión exhaustiva, nos pondremos en contacto directamente con cualquier persona afectada, pero reitero que no he visto indicios de ninguna intrusión activa, inyección de código malicioso ni nada más que la confirmación del acceso.”
ACTUALIZACIÓN (1 de mayo de 2026, 10:00 a. m. ET):
CISA ha añadido la vulnerabilidad CVE-2026-41940 a su catálogo de vulnerabilidades explotadas conocidas.
La Fundación Shadowserver afirma haber detectado 44.000 direcciones IP únicas que escanean, ejecutan exploits o realizan ataques de fuerza bruta contra sus sensores honeypot. Además, ha detectado alrededor de 650.000 direcciones IP que alojan instancias expuestas de cPanel/WHM.
Fuente: helpnetsecurity – Zeljka Zorz , editora jefe, Help Net Security
Equipo Prensa
Portal Innova
