Se han descubierto vulnerabilidades de severidad alta en productos cPanel. Un actor malicioso podría ejecutar código arbitrario o realizar una escalada de privilegios locales en los sistemas afectados.
Productos afectados
cPanel y WHM:
- Versiones 11.136.0.x anteriores a 11.136.0.9.
- Versiones 11.134.0.x anteriores a 11.134.0.25.
- Versiones 11.132.0.x anteriores a 11.132.0.31.
- Versiones 11.130.0.x anteriores a 11.130.0.22.
- Versiones 11.126.0.x anteriores a 11.126.0.58.
- Versiones 11.124.0.x anteriores a 11.124.0.37.
- Versiones 11.118.0.x anteriores a 11.118.0.66.
- Versiones 11.110.0.x anteriores a 11.110.0.116.
- Versiones 11.102.0.x anteriores a 11.102.0.41.
- Versiones 11.94.0.x anteriores a 11.94.0.30.
- Versiones 11.86.0.x anteriores a 11.86.0.43.
WP Squared:
- Versiones 11.136.1.x anteriores a 11.136.1.10.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-29203: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de seguimiento de enlaces simbólicos en el componente Cpanel::Nova::Connector del plugin Nova. Un actor malicioso remoto y autenticado podría colocar un enlace simbólico en una ruta controlada por el usuario para forzar la ejecución de una llamada chmod, permitiendo establecer permisos de root sobre archivos o directorios arbitrarios del sistema, lo que deriva en una escalada de privilegios.
CVE-2026-29202: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de código en el parámetro plugin del componente create_user. Un actor malicioso remoto y autenticado podría aprovechar la validación insuficiente de entrada para ejecutar código Perl arbitrario en nombre del usuario del sistema de la cuenta autenticada, comprometiendo la integridad y el control del servidor.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias