La empresa cPanel ha publicado actualizaciones de seguridad para cPanel y Web Host Manager (WHM), que corrigen tres vulnerabilidades: lectura arbitraria de archivos, ejecución arbitraria de código en Perl y tratamiento inseguro de enlaces simbólicos. Dos de los tres problemas han recibido una puntuación CVSS de 8.8, lo que corresponde a un nivel de criticidad alto. Las vulnerabilidades afectan a un amplio espectro de ramas compatibles del producto, así como a la plataforma WP Squared. Según los datos disponibles, en el momento de la publicación no se ha observado explotación activa en la naturaleza; sin embargo, se recomienda a los administradores de paneles de hosting aplicar los parches de inmediato.

Detalles técnicos de las vulnerabilidades

Las tres vulnerabilidades están relacionadas con una validación insuficiente de los datos de entrada o con un manejo inseguro de las operaciones con archivos en el lado del servidor.

• CVE-2026-29201 (CVSS: 4.3): validación insuficiente del nombre de archivo de la funcionalidad en la llamada adminbin feature::LOADFEATUREFILE. Según se indica, la vulnerabilidad permite leer archivos arbitrarios en el servidor. A pesar de la puntuación CVSS relativamente baja, el acceso no autorizado al sistema de archivos puede utilizarse para labores de reconocimiento previas a un ataque más grave.
• CVE-2026-29202 (CVSS: 8.8): validación insuficiente del parámetro plugin en la llamada de API create_user. Según el proveedor, la vulnerabilidad permite ejecutar código Perl arbitrario en nombre del usuario del sistema de una cuenta ya autenticada. Esto significa que un atacante con acceso legítimo al panel puede exceder sus permisos y ejecutar comandos a nivel del sistema operativo.
• CVE-2026-29203 (CVSS: 8.8): manejo inseguro de enlaces simbólicos que permite a un usuario modificar los permisos de acceso a un archivo arbitrario mediante chmod. El resultado puede ser una denegación de servicio o una elevación de privilegios. Los ataques a través de enlaces simbólicos son especialmente peligrosos en entornos de hosting multiusuario, donde la separación entre cuentas es un requisito de seguridad crítico.

Es importante distinguir el grado de gravedad: CVE-2026-29201 representa un riesgo moderado, mientras que CVE-2026-29202 y CVE-2026-29203, con una puntuación de 8.8, requieren atención prioritaria. Ninguna de las tres vulnerabilidades está incluida en el catálogo CISA KEV y, según los datos disponibles, no se han registrado casos confirmados de explotación.

Versiones afectadas y correcciones

Los parches se distribuyen para varias ramas compatibles de cPanel y WHM. Se consideran corregidas las siguientes versiones y superiores:

• 11.136.0.9
• 11.134.0.25
• 11.132.0.31
• 11.130.0.22
• 11.126.0.58
• 11.124.0.37
• 11.118.0.66
• 11.110.0.116 / 11.110.0.117
• 11.102.0.41
• 11.94.0.30
• 11.86.0.43

Para la plataforma WP Squared, la corrección se ha incluido en la versión 11.136.1.10 y posteriores.

Evaluación del impacto

cPanel y WHM son utilizados por miles de proveedores de hosting y servicios gestionados en todo el mundo. La naturaleza multiusuario de estas plataformas convierte a las vulnerabilidades de tipo «escalada de privilegios» y «ejecución de código» en especialmente peligrosas: la compromisión de una cuenta puede llevar a un movimiento lateral entre los entornos de clientes alojados en el mismo servidor.

CVE-2026-29202 requiere disponer de acceso autenticado, lo que reduce la superficie de ataque para atacantes externos, pero no elimina el riesgo: en escenarios reales los atacantes a menudo obtienen credenciales mediante phishing, filtraciones o fuerza bruta de contraseñas, y posteriormente utilizan este tipo de vulnerabilidades para escalar privilegios. CVE-2026-29203, mediante la manipulación de enlaces simbólicos y chmod, potencialmente permite interrumpir el funcionamiento de todo el servidor, algo crítico para los proveedores que ofrecen garantías de disponibilidad.

Recomendaciones prácticas

1. Actualice cPanel y WHM a la versión vigente de su rama (véase la lista anterior). Las actualizaciones automáticas de cPanel pueden comprobarse en WHM → Update Preferences.
2. Actualice WP Squared a la versión 11.136.1.10 o superior si utiliza esta plataforma.
3. Verifique la versión manualmente con el comando cat /usr/local/cpanel/version en el servidor y asegúrese de que la versión instalada no sea inferior a la corregida para su rama.
4. Restrinja el acceso a WHM por dirección IP a través del cortafuegos para reducir la superficie de ataque, especialmente hasta aplicar el parche.
5. Realice una auditoría de las sesiones activas y de las claves de API: CVE-2026-29202 se explota en nombre de un usuario autenticado, por lo que las credenciales comprometidas constituyen un vector de ataque directo.

Los administradores que utilicen cualquiera de las ramas de cPanel y WHM mencionadas deben aplicar las actualizaciones con carácter prioritario, especialmente teniendo en cuenta la puntuación CVSS de 8.8 de CVE-2026-29202 y CVE-2026-29203. Posponer el parche en un entorno de hosting multiusuario crea un riesgo real de comprometer los datos de los clientes y de romper la separación entre cuentas, incluso en ausencia de ataques confirmados en el momento actual.