La vulnerabilidad crítica en cPanel identificada como CVE-2026-41940 obligó a proveedores de hosting y administradores a actuar de inmediato. El fallo permitía eludir la autenticación, es decir, entrar a cPanel y WHM sin credenciales válidas. Como se trata de un panel con acceso a sitios, correo, bases de datos y configuración del servidor, el riesgo operativo fue alto desde el primer aviso público.
Además, cPanel publicó el parche el 28 de abril de 2026 y el 29 de abril la vulnerabilidad ya tenía ficha pública en NVD con severidad crítica. Por eso, si tu organización usa cPanel, WHM o depende de un proveedor que los usa, la prioridad es confirmar la versión corregida y limitar la exposición de acceso.
Qué hace distinto este fallo de seguridad en cPanel
CVE-2026-41940 no fue un error menor de interfaz ni un fallo limitado a una función secundaria. Fue un bypass de autenticación: un tipo de vulnerabilidad que permite saltar el paso de inicio de sesión. En la práctica, eso abre la puerta a funciones administrativas sin necesidad de usuario y contraseña legítimos.
También afectó a WP Squared en versiones 136.1.7 y anteriores, según sus notas de lanzamiento. En el caso de cPanel, el advisory oficial indica impacto sobre versiones posteriores a 11.40, incluidas ramas actualmente soportadas.
Cómo funcionaba el riesgo en términos simples
Aunque cPanel no publicó una explicación técnica completa del exploit, análisis externos como el de watchTowr lo describen como un problema ligado a CRLF, una técnica que manipula cómo una aplicación procesa ciertas líneas y sesiones. En términos simples, el fallo podía alterar la lógica del login y permitir que una sesión se tratara como válida cuando no debía serlo.
Sin embargo, para la mayoría de los administradores, el detalle más importante no es la mecánica exacta sino la consecuencia: acceso remoto no autorizado a un panel que concentra control sobre cuentas, dominios, servicios y correo.
Qué impacto tuvo para hosts, agencias y equipos técnicos
La respuesta de la industria muestra la gravedad real. Proveedores como KnownHost bloquearon temporalmente puertos de acceso a cPanel, WHM, webmail y webdisk mientras esperaban o desplegaban el parche. Esa medida no corrige el problema, pero sí reduce la superficie de exposición durante la ventana de riesgo.
Por otro lado, el Canadian Centre for Cyber Security publicó la alerta AL26-008 el 29 de abril de 2026 y recomendó actuar de inmediato. Además, NVD asignó a la vulnerabilidad un CVSS 9.8 en v3.1, una puntuación propia de fallos críticos.
Qué deben hacer hoy los usuarios de cPanel y WHM
La recomendación principal de cPanel es actualizar de inmediato con /scripts/upcp --force, verificar la versión instalada y reiniciar cpsrvd. Las ramas corregidas incluyen, entre otras, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 y 11.136.0.5.
Si no puedes aplicar el parche en el momento, cPanel recomienda bloquear tráfico entrante en los puertos 2083, 2087, 2095 y 2096, o detener los servicios expuestos. Finalmente, conviene restringir WHM a IPs de confianza, revisar indicadores de compromiso y confirmar con tu proveedor si el despliegue ya fue completado.
En G2K Cloud, todos los clientes que usan cPanel ya fueron actualizados. Si tu servicio está con otro proveedor, conviene pedir confirmación inmediata de la actualización por la gravedad de esta vulnerabilidad. Hoy el estado es claro: hay parche disponible, hay mitigaciones temporales y ya no alcanza con esperar.
Fuentes base validadas: cPanel advisory (2026-04-28, actualizado 2026-04-30), NVD CVE-2026-41940 (2026-04-29), WP Squared release notes 136.1.7 (2026-04-28), Canadian Centre for Cyber Security AL26-008 (2026-04-29), KnownHost operational advisory (2026-04-29), watchTowr technical analysis (2026-04-29) y Rapid7 analysis update (2026-04-30).