No hace ni 1 hora que hemos publicado el artículo sobre la vulnerabilidad Copy-Fail que afecta a los kernels de linux anteriores a 2017 y justo me entero de otra vulnerabilidad que, si bien no me afecta directamente, conozco a bastantes personas que sí.
watchTowr Labs ha publicado el análisis técnico completo de CVE-2026-41940, una vulnerabilidad crítica (CVSS 9.8) en cPanel & WHM que permite saltarse la autenticación por completo. Afecta a todas las versiones actualmente soportadas y ya está siendo explotada activamente en la naturaleza como zero-day, según confirmó el proveedor de hosting KnownHost.
cPanel gestiona más de 70 millones de dominios. WHM es el panel de administración con acceso root al servidor. Un atacante sin credenciales válidas puede obtener una sesión autenticada como root en dos pasos: primero inyecta campos arbitrarios en el fichero de sesión en disco mediante un header Authorization: Basic con saltos de línea (\r\n) en la contraseña, y luego fuerza que el caché JSON de la sesión se regenere desde ese fichero corrupto haciendo una petición sin token de seguridad. El resultado es una sesión con hasroot=1 y successful_internal_auth_with_timestamp como campos de primer nivel, con lo que cPanel salta la comprobación de contraseña en /etc/shadow y devuelve AUTH_OK.
La raíz del fallo está en que el código que gestiona la autenticación HTTP Basic en cpsrvd llamaba a saveSession sin pasar antes el input por filter_sessiondata, la función encargada de eliminar caracteres \r\n. El parche mueve esa llamada dentro de saveSession para que no dependa de que cada invocador lo recuerde.
Las versiones parcheadas son: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 y 11.136.0.5. Si gestionas servidores con cPanel, actualiza ahora.
Análisis técnico completo: watchTowr Labs
Únete a la comunidad Sinologic
Crea tu cuenta gratuita y participa en las conversaciones sobre VoIP, Asterisk, Kamailio y telecomunicaciones IP.
¿Lo has probado?
Tu experiencia es más valiosa de lo que crees.