Se ha publicado un framework de exploit PoC llamado “cPanelSniper” para la vulnerabilidad CVE-2026-41940, un bypass de autenticación crítico en cPanel & WHM que permite la suplantación completa de sesión root sin credenciales válidas. Esta falla afecta al módulo Session.pm en la gestión de cabeceras HTTP Authorization, comprometiendo decenas de miles de servidores desde febrero de 2026.
CVE y severidad
CVE-2026-41940: Vulnerabilidad pre-autenticación crítica en cPanel & WHM, con una puntuación CVSS de 9.8. Permite inyección de campos en archivos de sesión y acceso root completo sin autenticación válida. Explotación activa confirmada desde al menos febrero de 2026.
Productos afectados
- cPanel & WHM versiones posteriores a 11.40 sin parche aplicado.
- WP Squared (WordPress Squared) versiones vulnerables previas a 136.1.7.
Solución
Actualizar cPanel & WHM a versiones parcheadas según la rama:
-
- 11.110.0.97 o superior
- 11.118.0.63 o superior
- 11.126.0.54 o superior
- 11.132.0.29 o superior
- 11.134.0.20 o superior
- 11.136.0.5 o superior
Actualizar WP Squared a la versión 136.1.7 o superior
Recomendaciones
- Aplicar los parches de emergencia publicados, reiniciar los servicios cpsrvd y cpdavd, y bloquear el tráfico entrante a los puertos cPanel (2083, 2087, 2095, 2096). Además, auditar directorios de sesión en busca de archivos sospechosos y rotar todas las credenciales administrativas para mitigar riesgos.
- Monitorizar los registros del sistema para detectar accesos no autorizados.