cPanel ha publicado parches de seguridad que solucionan una vulnerabilidad en múltiples rutas de autenticación del panel de control que, en caso de ser explotada, podría permitir a un atacante tomar control del software de gestión de servidores. Las versiones corregidas son 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.136.0.5 y 11.134.0.20, y la compañía advierte que todos los lanzamientos actualmente soportados estaban en riesgo hasta que se aplicara la actualización.
cPanel, por el momento, no ha divulgado detalles técnicos del fallo, una práctica que suele reservarse hasta que la mayoría de servidores tengan el parche para reducir el riesgo de explotación masiva. Esa falta de información técnica incrementa la urgencia para los administradores: cuando no se conoce el vector exacto, la única mitigación fiable es actualizar cuanto antes y limitar el acceso a las interfaces de administración.
El proveedor de hosting Namecheap confirmó que el problema está relacionado con un exploit de login que podría permitir accesos no autorizados a cPanel y WHM, y como medida temporal bloqueó el tráfico a los puertos TCP 2083 y 2087 (HTTPS para cPanel y WHM). Namecheap explicó además que aplicó la corrección a sus servidores Reseller y Stellar Business y está desplegando el parche en el resto de su infraestructura; hasta que el parche esté instalado, los bloqueos de puerto pueden restringir el acceso de clientes a sus paneles de control. Para más información sobre las prácticas y documentación de cPanel puede consultarse su documentación oficial en https://docs.cpanel.net y para comprobaciones o comunicados del proveedor conviene revisar la asistencia de Namecheap en https://www.namecheap.com/support/knowledgebase/.
Cuál es el riesgo real y por qué debe importarle: cPanel es la interfaz de gestión para millones de sitios web; un compromiso de autenticación puede traducirse en acceso a cuentas de hosting, modificaciones de DNS, inyección de malware en sitios web, robo de certificados y credenciales, o despliegue de criptominers y backdoors que se propagan entre cuentas en servidores compartidos. Para sitios o empresas que dependen de hosting compartido o reseller, el riesgo es especialmente alto porque un servidor comprometido puede afectar a múltiples clientes.
Qué deben hacer los administradores de inmediato: primero, verificar la versión de cPanel/WHM que corre en el servidor y aplicar el parche oficial a la mayor brevedad posible; las versiones seguras están indicadas arriba. Si su proveedor no ha aplicado aún el parche y permite configurarlo, limite el acceso a los puertos de administración (2082/2083/2086/2087) mediante firewall o listas de permitidos, y considere bloquearlos hasta que se confirme la corrección. Active o verifique mecanismos de protección adicionales como cPHulk (protección ante fuerza bruta) y la autenticación de dos factores en las cuentas administrativas; la guía de cPanel sobre 2FA es útil como referencia en https://docs.cpanel.net/knowledge-base/security/two-factor-authentication/. Es recomendable también rotar credenciales administrativas y API keys, y forzar el cambio de contraseñas si existió algún indicio de acceso fuera de lo común.
Cómo detectar una posible intrusión: revise los logs de autenticación del sistema (por ejemplo, /var/log/auth.log en Debian/Ubuntu o /var/log/secure en CentOS/RHEL) y los registros de cPanel/WHM en el servidor en busca de inicios de sesión desde IPs desconocidas o en horarios atípicos. Compruebe la creación reciente de cuentas, cambios en usuarios y permisos, modificaciones en archivos críticos (como archivos de configuración de sitios o crontabs), y procesos persistentes inusuales. Si hay sospecha de compromiso, haga una captura forense de los discos y memoria antes de aplicar cambios drásticos, y considere restaurar desde backups íntegros si la integridad está comprometida.
Comunicación y mitigación a nivel de proveedor: los administradores de hosting deben informar rápidamente a sus clientes sobre las acciones tomadas y, si aplicable, coordinar el bloqueo temporal de puertos de administración o el mantenimiento programado para aplicar el parche. Manténgase atento a actualizaciones públicas de cPanel y a la posible asignación de un identificador CVE en los próximos días, y monitorice listas de vulnerabilidades y boletines oficiales (por ejemplo, en https://cve.mitre.org o las páginas de seguridad de cPanel).
En resumen, actualizar cPanel/WHM a las versiones corregidas es la acción prioritaria, seguida de restricciones de acceso a las interfaces administrativas, reforzamiento de autenticación multifactor, rotación de credenciales y análisis forense de logs para detectar actividad anómala. La coordinación con el proveedor de hosting y la transparencia con los usuarios completan una respuesta responsable frente a una vulnerabilidad de autenticación que, por su naturaleza, puede tener consecuencias de alto impacto en entornos de hosting compartido.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...