¿Qué está pasando?
La vulnerabilidad permite a un atacante eludir por completo el sistema de autenticación de cPanel/WHM. Esto significa que tu contraseña, por más fuerte que sea, y tu 2FA no son suficientes para detenerlo. Una vez dentro, los atacantes suelen instalar puertas traseras (backdoors) que les permiten mantener el control del servidor incluso después de cambiar contraseñas.
Un detalle importante: muchos servidores comprometidos siguen funcionando con normalidad en apariencia. Los sitios web cargan, los correos llegan, todo parece estar bien. Esto es intencional: los atacantes evitan llamar la atención mientras usan tu servidor para sus propios fines.
⚠️ Si no puedes iniciar sesión en WHM con tus credenciales habituales, es muy probable que tu servidor ya haya sido comprometido.
Acción inmediata: ¿qué hacer ahora?
1. Actualiza cPanel y WHM cuanto antes
Asegúrate de que tu instalación esté en alguna de las versiones parcheadas:
- 11.86.0.41 o superior
- 11.110.0.97 o superior
- 11.118.0.63 o superior
- 11.124.0.35 o superior
- 11.126.0.54 o superior
- 11.130.0.19 o superior
- 11.132.0.29 o superior
- 11.134.0.20 o superior
- 11.136.0.5 o superior
También aplica todas las actualizaciones del sistema operativo.
2. Si no puedes actualizar inmediatamente
Como medida provisional, bloquea el tráfico entrante en los puertos 2083, 2087, 2095 y 2096, y desactiva los Service Subdomains desde la configuración de WHM.
3. Si sospechas que tu servidor ya fue comprometido
Aquí no hay atajos. Las opciones son:
Opción A — Restaurar desde un backup limpio: usa una copia anterior a la fecha probable del compromiso (al menos 48 horas antes).
Opción B — Reinstalación completa (la más segura): arranca el servidor en modo Rescue, recupera los datos esenciales y reinstala el sistema operativo desde cero. Esta es la única forma confiable de eliminar todas las puertas traseras que el atacante pudo haber dejado.
¿Por qué no basta con "limpiar" el servidor?
Cuando un atacante explota esta vulnerabilidad, rara vez se limita a una sola intrusión. Lo habitual es que deje múltiples puntos de acceso ocultos: usuarios fantasma, scripts programados, modificaciones en archivos de configuración, claves SSH añadidas, entre otros. Detectarlos todos manualmente es extremadamente difícil, y basta con que se escape uno para que el atacante recupere el control.
Por eso, ante cualquier duda, la reinstalación completa es siempre la opción más recomendable.
La importancia de los backups
Este incidente vuelve a demostrar algo que repetimos siempre: un buen sistema de respaldos no es opcional. Si no tienes copias de seguridad recientes y verificadas, una vulnerabilidad como esta puede significar la pérdida total de tu información.
Recomendaciones básicas:
- Configura backups automáticos con retención de al menos 7 días.
- Almacena las copias en una ubicación separada del servidor principal.
- Verifica periódicamente que los backups se puedan restaurar correctamente.
En resumen
CVE-2026-41940 es una vulnerabilidad seria que no admite demoras. Si tu servidor utiliza cPanel/WHM, actúa hoy mismo: actualiza a una versión parcheada, revisa el estado de tus backups y, si tienes la mínima sospecha de que algo no anda bien, opta por una reinstalación limpia. En ciberseguridad, prevenir siempre cuesta menos que recuperar.
