cPanel ha divulgado múltiples vulnerabilidades de alta severidad que afectan a las plataformas cPanel & WHM y WP Squared (WP2). Las fallas identificadas permiten lectura arbitraria de archivos, inyección de código y ataques de denegación de servicio (DoS), pudiendo derivar en acceso no autorizado, compromiso parcial o total del servidor y afectación de servicios de hosting web.
Las vulnerabilidades fueron registradas como CVE-2026-29201, CVE-2026-29202 y CVE-2026-29203, y requieren la aplicación inmediata de actualizaciones de seguridad.
La explotación exitosa de estas vulnerabilidades puede permitir:
- Lectura de archivos sensibles del sistema
- Ejecución remota de código
- Escalamiento de privilegios
- Interrupción de servicios mediante DoS
- Compromiso de entornos compartidos de hosting
CVE y severidad
| CVE | Tipo | Impacto | Severidad | Estado Explotación |
|---|---|---|---|---|
| CVE-2026-29201 | Path Traversal / Lectura arbitraria de archivos | Exposición de información sensible del sistema | Alta | No se ha reportado explotación activa |
| CVE-2026-29202 | Inyección de código Perl / RCE | Ejecución remota de código y posible compromiso del servidor | Crítica | No reportado, pero con alto riesgo de explotación |
| CVE-2026-29203 | Manejo inseguro de enlaces simbólicos (Symlink) | Denegación de servicio y posible escalamiento de privilegios | Alta | No se ha reportado explotación activa |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| cPanel, L.L.C. | cPanel & WHM | feature::LOADFEATUREFILE, create_user API, manejo de symlinks | Versiones anteriores a 11.136.0.9 y variantes listadas | Sistemas que soportan cPanel & WHM (Linux) |
| cPanel, L.L.C. | WP Squared (WP2) | Plataforma WP Squared | Versiones anteriores a 11.136.1.10 | Sistemas que soportan WP Squared |
Solución
Actualizar a una de las siguientes versiones o superior: 11.136.0.9, 11.134.0.25, 11.132.0.31, 11.130.0.22, 11.126.0.58, 11.124.0.37, 11.118.0.66, 11.110.0.116, 11.110.0.117, 11.102.0.41, 11.94.0.30 o 11.86.0.43.
Los usuarios de WP Squared deben actualizar a la versión 11.136.1.10 o superior.
Recomendaciones
- Priorizar la aplicación inmediata de actualizaciones de seguridad
- Ejecutar el proceso de actualización utilizando el mecanismo oficial de actualización forzada
- Restringir el acceso administrativo a cPanel & WHM únicamente a redes autorizadas
- Revisar logs del sistema y del panel para identificar:
- Creación sospechosa de usuarios
- Accesos anómalos
- Lectura no autorizada de archivos
- Monitorear actividad relacionada con:
- uso de symlinks
- ejecución de comandos Perl
- errores inesperados en servicios web
- Mantener vigilancia reforzada en entornos multi-tenant o shared hosting debido al riesgo de escalamiento lateral