cPanel ha divulgado múltiples vulnerabilidades de alta severidad que afectan a las plataformas cPanel & WHM y WP Squared (WP2). Las fallas identificadas permiten lectura arbitraria de archivos, inyección de código y ataques de denegación de servicio (DoS), pudiendo derivar en acceso no autorizado, compromiso parcial o total del servidor y afectación de servicios de hosting web.
Las vulnerabilidades fueron registradas como CVE-2026-29201, CVE-2026-29202 y CVE-2026-29203, y requieren la aplicación inmediata de actualizaciones de seguridad.
La explotación exitosa de estas vulnerabilidades puede permitir:
- Lectura de archivos sensibles del sistema
- Ejecución remota de código
- Escalamiento de privilegios
- Interrupción de servicios mediante DoS
- Compromiso de entornos compartidos de hosting
CVE y severidad
| CVE | Tipo | Impacto | Severidad | Estado Explotación |
|---|---|---|---|---|
| CVE-2026-29201 | Path Traversal / Lectura arbitraria de archivos | Exposición de información sensible del sistema | Alta | No se ha reportado explotación activa |
| CVE-2026-29202 | Inyección de código Perl / RCE | Ejecución remota de código y posible compromiso del servidor | Crítica | No reportado, pero con alto riesgo de explotación |
| CVE-2026-29203 | Manejo inseguro de enlaces simbólicos (Symlink) | Denegación de servicio y posible escalamiento de privilegios | Alta | No se ha reportado explotación activa |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| cPanel, L.L.C. | cPanel & WHM | feature::LOADFEATUREFILE, create_user API, manejo de symlinks | Versiones anteriores a 11.136.0.9 y variantes listadas | Sistemas que soportan cPanel & WHM (Linux) |
| cPanel, L.L.C. | WP Squared (WP2) | Plataforma WP Squared | Versiones anteriores a 11.136.1.10 | Sistemas que soportan WP Squared |
Solución
Actualizar a versiones parcheadas: cPanel & WHM 11.136.0.9 o superiores y WP Squared versión 11.136.1.10 o superior.
Recomendaciones
- Priorizar la aplicación inmediata de actualizaciones de seguridad
- Ejecutar el proceso de actualización utilizando el mecanismo oficial de actualización forzada
- Restringir el acceso administrativo a cPanel & WHM únicamente a redes autorizadas
- Revisar logs del sistema y del panel para identificar:
- Creación sospechosa de usuarios
- Accesos anómalos
- Lectura no autorizada de archivos
- Monitorear actividad relacionada con:
- uso de symlinks
- ejecución de comandos Perl
- errores inesperados en servicios web
- Mantener vigilancia reforzada en entornos multi-tenant o shared hosting debido al riesgo de escalamiento lateral