cPanel y WHM alertan sobre tres vulnerabilidades críticas a parchear
Publicado el
Actualización crítica de cPanel y WHM
cPanel ha publicado actualizaciones para mitigar tres vulnerabilidades críticas en sus productos cPanel y Web Host Manager (WHM). Estas fallas podrían ser explotadas para lograr escalada de privilegios, ejecución de código y denegación de servicio, lo que pone en riesgo la seguridad de los sistemas afectados.
Las vulnerabilidades identificadas son las siguientes:
- CVE-2026-29201 (Puntuación CVSS: 4.3): Se trata de una validación insuficiente de la entrada del nombre del archivo en la llamada de administración `feature::LOADFEATUREFILE`, lo que podría permitir la lectura arbitraria de archivos.
- CVE-2026-29202 (Puntuación CVSS: 8.8): Esta vulnerabilidad radica en la validación insuficiente del parámetro `plugin` en la llamada a la API `create_user`, que podría resultar en la ejecución de código Perl arbitrario en nombre del usuario del sistema ya autenticado.
- CVE-2026-29203 (Puntuación CVSS: 8.8): Se ha detectado un manejo inseguro de los enlaces simbólicos que permite a un usuario modificar los permisos de acceso de un archivo arbitrario utilizando `chmod`, lo que puede llevar a una denegación de servicio o posible escalada de privilegios.
Las versiones afectadas han sido corregidas en: - cPanel y WHM: 11.136.0.9 y superiores - 11.134.0.25 y superiores - 11.132.0.31 y superiores - 11.130.0.22 y superiores - 11.126.0.58 y superiores - 11.124.0.37 y superiores - 11.118.0.66 y superiores - 11.110.0.116 y superiores - 11.110.0.117 y superiores - 11.102.0.41 y superiores - 11.94.0.30 y superiores - 11.86.0.43 y superiores - WP Squared: 11.136.1.10 y superiores
Además, cPanel ha lanzado la versión 110.0.114 como actualización directa para aquellos clientes que todavía utilizan CentOS 6 o CloudLinux 6. Se aconseja a todos los usuarios actualizar a las versiones más recientes para asegurar la protección óptima de sus sistemas.
Aunque no hay evidencia de que estas vulnerabilidades hayan sido explotadas activamente, su divulgación se produce días después de que otra falla crítica en el producto, CVE-2026-41940, fuera utilizada por actores maliciosos como un zero-day para distribuir variantes del botnet Mirai y una variante de ransomware denominada Sorry.
La recomendación es clara: aplicar los parches lo antes posible para evitar posibles compromisos en la seguridad de los sistemas que utilizan cPanel y WHM.