cPanel/WHM: vulnerabilidad crítica permite acceso root sin autenticación
Una vulnerabilidad de severidad crítica (CVSS 9.8) ha sido descubierta en los paneles de control cPanel y WHM, dos de las herramientas de administración de servidores más empleadas en la industria del alojamiento web (se estima que gestionan cerca de 70 millones de dominios). El fallo, registrado como CVE-2026-41940, permite a un atacante remoto sin necesidad de credenciales eludir la pantalla de acceso y obtener control total del servidor afectado, incluyendo todos los sitios web, bases de datos, cuentas de correo electrónico y configuraciones alojadas en él. La situación resulta especialmente alarmante porque, además de un código de explotación funcional ya publicado en línea, hay evidencias de que la vulnerabilidad ha estado siendo explotada activamente como «día cero» desde, al menos, el pasado mes de febrero de 2026.
⚠️ El origen del problema (explicación sencilla)
El fallo se encuentra en un componente interno del software denominado cpsrvd, el servicio que gestiona las peticiones de acceso al panel. Los investigadores de watchTowr descubrieron que cuando un atacante realiza un intento fallido de inicio de sesión, el servicio crea un archivo temporal de sesión en la unidad de almacenamiento del servidor. Este archivo provisional contiene la información de la petición de acceso que acaba de producirse. El atacante puede manipular la información que se escribe en ese archivo aprovechando una técnica conocida como inyección de CRLF (Carriage Return Line Feed), que consiste en introducir caracteres especiales en el campo de la contraseña para romper la estructura del archivo. Esto le permite añadir líneas completamente nuevas al archivo, como instrucciones que le otorgan privilegios de superadministrador (user=root, hasroot=1), que el sistema después interpreta como auténticas y legítimas al recargar la sesión, otorgándole así acceso con todos los privilegios.
Analogía para comprenderlo mejor: imagine que al solicitar acceso a un edificio custodiado se genera un informe con sus datos (nombre, habitación a la que desea dirigirse y si la puerta de entrada principal se encuentra abierta o cerrada). Si descubre que puede añadir líneas adicionales a ese informe para hacer creer que es un alto directivo del lugar, el sistema de seguridad podría entonces permitirle el paso libremente sin hacer las comprobaciones habituales. Eso es precisamente lo que permite este fallo.
🌍 Un problema global y de urgente solución
La gravedad de la situación queda reflejada en las acciones emprendidas por múltiples actores del sector:
Grandes proveedores de alojamiento como Namecheap, HostGator y KnownHost han bloqueado temporalmente el acceso a los paneles de control de sus clientes para protegerlos mientras aplicaban los parches de emergencia. La empresa KnownHost confirmó haber detectado intentos de explotación en sus sistemas desde el pasado 23 de febrero de 2026.
Agencias gubernamentales de ciberseguridad de Canadá y Australia han emitido alertas urgentes confirmando la explotación activa y proactiva de la vulnerabilidad a escala mundial.
El fabricante —cPanel— ha publicado parches de emergencia y recomienda a todos los administradores actualizar sus sistemas de manera inmediata.
🔧 Solución recomendada (procedimiento
…