Se han lanzado actualizaciones de seguridad que solucionan múltiples vulnerabilidades en los paneles de control de alojamiento web cPanel, WHM y WP Squared. Entre las vulnerabilidades corregidas se encuentran tres de alta severidad. Estas vulnerabilidades podrían permitir a un actor malicioso remoto obtener acceso de lectura a archivos arbitrarios en los sistemas afectados o interceptar solicitudes y capturar credenciales de usuarios.
Productos afectados
cPanel y WHM
- 11.124.x, versiones anteriores a 11.124.0.40
- 11.126.x, versiones anteriores a 11.126.0.61
- 11.130.x, versiones anteriores a 11.130.0.25
- 11.132.x, versiones anteriores a 11.132.0.34
- 11.134.x, versiones anteriores a 11.134.0.28
- 11.136.x, versiones anteriores a 11.136.0.12
WP Squared
- 11.136.x, versiones anteriores a 11.136.1.15
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-29205: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad de gestión incorrecta de privilegios y filtrado de rutas insuficiente que podría permitir a un actor malicioso leer archivos arbitrarios en el servidor a través de los puntos finales de descarga de archivos adjuntos de cpdavd.
CVE-2026-32993: con una puntuación de 8.3 Existe una vulnerabilidad debido a la sanitización inadecuada del parámetro de consulta status en el punto final /unprotected/nova_error, lo que podría permitir a un actor malicioso no autenticado inyectar un encabezado HTTP arbitrario en la respuesta.
CVE-2026-32992: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad donde la verificación SSL se encuentra deshabilitada en el sistema DNS Cluster. Esto podría permitir que un servidor malicioso intercepte la solicitud y capture las credenciales de los usuarios. Esta vulnerabilidad cuenta con una prueba de concepto disponible.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias