cPanel ha publicado parches para tres fallos de seguridad en cPanel & WHM que, en distintos escenarios, permiten desde la lectura arbitraria de archivos hasta la ejecución remota de código y la modificación indebida de permisos mediante enlaces simbólicos. Aunque todavía no hay pruebas públicas de explotación masiva de estas tres vulnerabilidades, su presencia en un software tan extendido en hosting compartido convierte cualquier retraso en la actualización en un riesgo real para proveedores y clientes.
Las tres fallas identificadas (CVE-2026-29201, CVE-2026-29202 y CVE-2026-29203) cubren vectores distintos: una insuficiente validación de nombres de fichero que puede conducir a lectura arbitraria, una validación insegura del parámetro “plugin” que permite ejecución de código Perl en el contexto del usuario ya autenticado, y un manejo inseguro de symlinks que posibilita cambiar permisos con chmod sobre ficheros ajenos. Estas combinadas representan un riesgo elevado en entornos multiusuario, donde un atacante con acceso limitado podría escalar privilegios o interrumpir servicios de otros clientes.
¿Por qué es grave en hosting compartido? En servidores donde coexisten docenas o cientos de cuentas, una vulnerabilidad que permita ejecución de código bajo el usuario del sistema o manipulación de permisos puede transformarse rápidamente en compromiso de múltiples sitios, creación de máquinas zombis (por ejemplo para Mirai) o puerta de entrada para ransomware. El historial reciente de explotación de fallos en cPanel por actores que distribuyeron variantes de Mirai y ransomware refuerza la urgencia de parchear y vigilar las señales de compromiso.
cPanel ha incluido estas correcciones en las ramas de producto publicadas recientemente; además, ha ofrecido una actualización puntual (110.0.114) para clientes que todavía ejecutan CentOS 6 o CloudLinux 6. Si administras servidores con cPanel/WHM debes comprobar la versión instalada y aplicar las actualizaciones oficiales cuanto antes. Para instrucciones de actualización y versiones soportadas revisa la documentación oficial de cPanel en https://docs.cpanel.net/ y las noticias del equipo en https://news.cpanel.com/.
Medidas inmediatas recomendadas: actúa primero con parches; si no puedes aplicar el update por compatibilidad o ventanas de mantenimiento, mitiga bloqueando el acceso a los puertos administrativos (2082/2083/2086/2087) desde Internet, restringiendo WHM/cPanel a IPs de administración mediante firewall, deshabilitando APIs expuestas innecesarias y aplicando reglas WAF/ModSecurity para proteger entradas conocidas. Considera también deshabilitar temporalmente módulos de terceros o plugins no esenciales hasta verificar su seguridad.
Además de actualizar, realiza una revisión forense básica: busca procesos inusuales, conexiones salientes persistentes, ficheros con permisos alterados, cronjobs desconocidos y actividad en logs de cPanel/WHM. Si gestionas clientes, informa con transparencia sobre la mitigación aplicada y recomienda restablecer credenciales sensibles (contraseñas, claves API). Para orientaciones sobre gestión de vulnerabilidades y buenas prácticas puedes consultar recursos del NVD en https://nvd.nist.gov/ y guías de respuesta a incidentes en sitios oficiales.
Qué vigilar en el corto plazo: intentos de autenticación anómala, llamadas a APIs administrativas desde cuentas de hosting, scripts o binarios Perl no habituales ejecutándose como usuarios de cuentas, y modificaciones de permisos mediante symlinks. Los indicadores tempranos que sugieren explotación pueden ser peaks de CPU/uso de red, procesos como descargadores o escáneres y creación de artefactos asociados a botnets o ransomware.
En el plano organizativo, prioriza aplicar parches en orden de criticidad y visibilidad: primero servidores de producción expuestos y nodos que alojan múltiples clientes. Mantén un calendario de actualizaciones y prueba los parches en entornos staging cuando sea posible para evitar interrupciones inesperadas. Finalmente, documenta las acciones tomadas y comunica a stakeholders para mantener la confianza: la rapidez y transparencia son clave ante vulnerabilidades en infraestructuras compartidas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...