Se ha descubierto una vulnerabilidad de severidad crítica en productos cPanel & WHM y WP Squared. Un actor malicioso podría obtener acceso administrativo no autorizado y tomar el control total de los servicios de alojamiento gestionado.
Productos afectados
cPanel y WHM:
- Versiones 11.86.x anteriores a la 11.86.0.41.
- Versiones 11.110.x anteriores a la 11.110.0.97.
- Versiones 11.118.x anteriores a la 11.118.0.63.
- Versiones 11.126.x anteriores a la 11.126.0.54.
- Versiones 11.130.x anteriores a la 11.130.0.19.
- Versiones 11.132.x anteriores a la 11.132.0.29.
- Versiones 11.134.x anteriores a la 11.134.0.20.
- Versiones 11.136.x anteriores a la 11.136.0.5.
WP Squared:
- Versiones anteriores a la 136.1.7.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–41940: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de ausencia de autenticación de cPanel y WHM mediante el flujo de inicio de sesión. Un actor malicioso remoto podría explotar un manejo inseguro de las sesiones de preautenticación y la falta de sanitización en el flujo de autenticación HTTP para eludir los controles de acceso, obteniendo privilegios administrativos de nivel root en el servidor. Cabe destacar que existe una prueba de concepto pública para esta vulnerabilidad.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias