Vulnerabilidad crítica en cPanel y WHM

¿Qué ha ocurrido?

El pasado 28 de abril de 2026, cPanel publicó actualizaciones de seguridad para corregir un problema que afecta a múltiples rutas de autenticación y que podría permitir a un atacante obtener acceso no autorizado al software del panel de control.

La gravedad del asunto es notable: el problema afecta a todas las versiones soportadas actualmente. Aunque cPanel no ha divulgado detalles técnicos sobre la naturaleza exacta del fallo, la compañía de registro de dominios y alojamiento web Namecheap describió el problema como un exploit en el proceso de autenticación que podría permitir el acceso no autorizado al panel de control.

Versiones que incluyen el parche

El problema ha sido corregido en las siguientes versiones: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 y 11.136.0.5.

Si tu servidor ejecuta una versión anterior o fuera del soporte activo, cPanel ha recalcado que es muy recomendable trabajar en su actualización lo antes posible, ya que también podría estar afectado.

¿Qué medidas se han adoptado en el sector?

La respuesta de los proveedores de hosting ha sido inmediata. Como medida de precaución, Namecheap aplicó una regla de cortafuegos para bloquear el acceso a los puertos TCP 2083 y 2087, lo que restringió temporalmente el acceso de sus clientes a las interfaces de cPanel y WHM hasta que el parche oficial pudo ser desplegado.

A fecha del 29 de abril de 2026, el equipo de soporte de Namecheap confirmó que la corrección había sido aplicada en sus servidores Reseller, Stellar Business y el resto de su infraestructura.

Contexto: ¿Por qué es especialmente sensible esta vulnerabilidad?

cPanel y WHM son dos de las herramientas de administración de servidores web más extendidas en el mundo. Una vulnerabilidad en su sistema de autenticación es particularmente crítica porque un atacante que logre explotarla podría ganar control total sobre el servidor afectado: acceder a todos los sitios web alojados, bases de datos, cuentas de correo y configuraciones de red, sin necesidad de credenciales válidas.

La combinación de una superficie de ataque muy amplia (millones de servidores utilizan cPanel en todo el mundo) con la ausencia de detalles técnicos públicos —que inicialmente puede parecer una ventaja para los defensores— también incrementa el riesgo: los actores maliciosos con acceso a la vulnerabilidad pueden explotarla de forma silenciosa antes de que los administradores la parcheen.

Recomendaciones para los equipos de TI y seguridad

Dado el impacto potencial de esta vulnerabilidad, desde el equipo de seguridad recomendamos tomar las siguientes medidas con carácter urgente:

1. Verificar la versión de cPanel en todos los servidores bajo gestión. Identificar qué servidores propios o de clientes utilizan cPanel/WHM y confirmar si se encuentran en una versión afectada.

2. Aplicar el parche de forma inmediata. Actualizar a alguna de las versiones corregidas publicadas por cPanel. Las actualizaciones automáticas de cPanel deberían haberse ejecutado ya en la mayoría de instalaciones con configuración estándar, pero conviene verificarlo manualmente.

3. Revisar los logs de acceso. Aunque no existen indicadores de compromiso (IoCs) públicos por el momento, es recomendable revisar los registros de autenticación de los puertos 2083 y 2087 en busca de accesos anómalos, especialmente de IPs desconocidas o inusuales.

4. Restringir el acceso a los paneles de administración. Si no estaba ya implementado, valorar la aplicación de reglas de cortafuegos para limitar el acceso a los puertos de gestión de cPanel (2083, 2087) únicamente a rangos de IP de confianza o a través de VPN.

5. Activar autenticación de doble factor (2FA). Para todos los accesos a cPanel y WHM, si no está ya habilitado.

6. Mantenerse informado. cPanel puede publicar información técnica adicional en los próximos días. Seguir la página oficial de avisos de seguridad de cPanel es clave para adaptar la respuesta si aparecen nuevos detalles o IoCs.

Conclusión

Esta vulnerabilidad sirve como recordatorio de la importancia de mantener una política rigurosa de gestión de parches, especialmente en infraestructuras críticas como los paneles de administración de servidores. La velocidad de respuesta ante este tipo de incidentes marca la diferencia entre una actualización rutinaria y una brecha de seguridad.