Una campaña adversarial avanzada ha explotado una vulnerabilidad crítica de omisión de autenticación en cPanel y WHM (CVE-2026-41940) con un CVSS 9.8, afectando versiones posteriores a la 11.40. El ataque combinó esta brecha con una cadena de exploits zero-day personalizada contra un portal del sector defensa indonesio, logrando acceso raíz sin credenciales válidas. Finalmente, se extrajeron más de 4GB de documentos sensibles del sector ferroviario chino, evidenciando un riesgo grave para la confidencialidad y la integridad de infraestructura gubernamental y militar.
CVE y severidad
| CVE | CVSS base | Severidad | Alcance y componente afectado | Explotación conocida |
|---|---|---|---|---|
| CVE-2026-41940 | 9.8 | Crítica | cPanel y WHM, omisión de autenticación por manipulación CRLF en cookies de sesión | Sí, antes de parche oficial el 28-abril-2026; listado en catalogo CISA KRV |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| cPanel, L.L.C. | cPanel & WHM | Módulo de autenticación y gestión de sesiones (whostmgrsession cookie) | A partir de la versión 11.40 en adelante | Linux (variantes comunes en hosting) |
Solución
Actualizar a la versión corregida de cPanel y WHM lanzada el 28 de abril de 2026.
Recomendaciones
Priorice la aplicación inmediata del parche oficial y audite los registros del servidor para detectar manipulación de cookies whostmgrsession mediante inyección CRLF. Además, refuerce la protección contra exfiltración de datos interna y monitorice conexiones anómalas, especialmente las que involucran agentes persistentes como AdaptixC2 y túneles OpenVPN/Ligolo.