Una vulnerabilidad crítica en cPanel y WHM se ha convertido en una emergencia para proveedores de hosting, administradores de sistemas y propietarios de páginas web. El fallo, identificado como CVE-2026-41940, permite saltarse la autenticación y acceder a paneles de control sin credenciales válidas. En la práctica, eso puede abrir la puerta al control de servidores completos, bases de datos, correos, sitios web y cuentas alojadas en la misma máquina.
El problema ya no es solo teórico. Tras la publicación del parche de emergencia, comenzaron a multiplicarse los avisos de explotación activa y ahora se han detectado ataques masivos que instalan el ransomware “Sorry” en servidores Linux. Según la información recopilada por BleepingComputer, Shadowserver habría observado al menos 44.000 direcciones IP con cPanel comprometidas en una campaña que todavía sigue en marcha.
Un fallo especialmente grave para el hosting compartido
cPanel y WHM son dos herramientas muy extendidas en el mundo del alojamiento web. WHM se usa para la administración del servidor a nivel más alto, mientras que cPanel permite gestionar sitios web, bases de datos, cuentas de correo, ficheros, dominios y otros elementos del servicio. Para muchos clientes pequeños, agencias y proveedores de hosting, son la puerta de entrada a toda la operación diaria de sus webs.
Por eso CVE-2026-41940 es tan delicada. No se trata de una vulnerabilidad menor dentro de una aplicación concreta, sino de un fallo en el plano de administración. Rapid7 la describe como una omisión de autenticación con una puntuación CVSS de 9,8 sobre 10. La compañía explica que un atacante remoto no autenticado puede conseguir acceso administrativo a sistemas afectados.
El origen técnico está en una inyección CRLF en los procesos de inicio de sesión y carga de sesión de cPanel y WHM. Dicho de forma sencilla, el atacante puede manipular cómo se escriben y leen ciertos datos de sesión antes de autenticarse, hasta lograr que el sistema le trate como usuario con privilegios. No hace falta publicar aquí una receta de explotación para entender la gravedad: si el panel cree que el atacante es administrador, el servidor queda expuesto.
cPanel publicó el aviso de seguridad el 28 de abril de 2026 y ha actualizado varias veces las versiones corregidas y las instrucciones de mitigación. La vulnerabilidad afecta a versiones posteriores a la 11.40, incluido cPanel DNSOnly, y también se han publicado correcciones para WP Squared, la plataforma de gestión de WordPress basada en cPanel.
La urgencia aumenta porque la explotación habría empezado antes de la divulgación pública. BleepingComputer informó de intentos observados desde finales de febrero, antes de que hubiera un parche disponible. Esa ventana convierte el caso en algo más serio que una simple carrera por actualizar: muchos servidores pueden haber sido comprometidos antes de que sus administradores supieran siquiera que existía el fallo.
Sorry: un ransomware para Linux que cifra webs completas
La campaña más reciente va un paso más allá del acceso no autorizado. Según varias fuentes citadas por BleepingComputer, los atacantes están usando CVE-2026-41940 para entrar en servidores y desplegar un cifrador Linux escrito en Go asociado al ransomware “Sorry”. Los archivos afectados reciben la extensión “.sorry” y en cada carpeta se genera una nota de rescate llamada README.md.
El cifrador usaría ChaCha20 para bloquear los archivos y protegería la clave mediante una clave pública RSA-2048 incrustada. El detalle es importante porque complica mucho la recuperación sin copia de seguridad. Expertos en ransomware citados por el medio señalan que, sin la clave privada RSA-2048 correspondiente, no sería posible descifrar los ficheros por medios normales.
Este “Sorry” no debe confundirse con una campaña anterior de 2018 que también añadía la extensión “.sorry” a los archivos, pero usaba otro cifrador basado en HiddenTear. La campaña actual es distinta y está orientada a servidores Linux comprometidos a través de cPanel y WHM.
El impacto puede ser enorme para webs pequeñas y medianas. En un entorno de hosting compartido, un servidor puede alojar decenas o cientos de sitios. Si el atacante logra acceso privilegiado al plano de administración, el daño puede extenderse a bases de datos, ficheros, cuentas de correo, certificados, copias locales y configuraciones. Para una empresa pequeña, una tienda online o un medio digital, perder esos datos puede suponer días de parada, pérdida de ingresos y un coste de recuperación muy superior al de una actualización preventiva.
También hay un riesgo adicional que no siempre se ve en el primer momento: el robo de información. Aunque la campaña visible esté centrada en cifrado, un atacante con acceso administrativo puede copiar bases de datos, credenciales, configuraciones y correos antes de desplegar ransomware. Por eso los equipos afectados no deberían limitarse a restaurar archivos. Deben tratar el incidente como una intrusión completa.
Actualizar no basta si el servidor ya fue comprometido
La recomendación principal es clara: actualizar cPanel y WHM de inmediato a una versión corregida. cPanel indica que se han publicado parches para ramas como 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20 y 11.136.0.5, además de WP Squared 136.1.7 o superior. También recomienda ejecutar la actualización forzada, verificar la versión instalada y reiniciar el servicio cpsrvd.
Los administradores que hayan desactivado actualizaciones automáticas o fijado una rama concreta deben revisar sus servidores manualmente. Este detalle es importante porque muchos entornos de hosting se quedan anclados a versiones específicas por compatibilidad, costumbre o miedo a romper dependencias. En una vulnerabilidad explotada de forma masiva, esa práctica puede convertirse en el punto débil de toda la infraestructura.
Si no es posible actualizar de inmediato, cPanel plantea mitigaciones temporales, como bloquear tráfico entrante hacia los puertos 2083, 2087, 2095 y 2096 o detener servicios internos como cpsrvd y cpdavd. Son medidas de contención, no soluciones definitivas. El parche debe aplicarse en cuanto sea posible.
La parte más incómoda llega después. Si hay sospecha de compromiso, no basta con instalar la actualización y seguir adelante. cPanel ha publicado un script de detección y recomienda purgar sesiones afectadas, forzar cambios de contraseña para root y usuarios de WHM, revisar registros de acceso, auditar /var/log/wtmp y buscar mecanismos de persistencia como tareas cron, claves SSH no autorizadas o puertas traseras. Es una respuesta a incidente, no una simple tarea de mantenimiento.
Para proveedores de hosting, el caso deja una lección conocida, pero a menudo ignorada: los paneles de administración expuestos a Internet son objetivos de alto valor. Deben estar actualizados, protegidos con autenticación fuerte, restringidos por IP siempre que sea viable, monitorizados y respaldados por copias de seguridad externas e inmutables. Una copia local dentro del mismo servidor no sirve de mucho si el atacante cifra todo el sistema.
El episodio también recuerda la importancia de segmentar privilegios y reducir superficie expuesta. No todos los administradores necesitan acceder desde cualquier dirección. No todos los servicios deben estar abiertos a Internet. No todos los clientes deben compartir un entorno sin límites claros. La comodidad de un panel de hosting no puede estar por encima de su seguridad.
La explotación de CVE-2026-41940 llega en un momento en el que el ransomware busca cada vez más servidores Linux, sistemas de virtualización, appliances y plataformas de administración. Los atacantes no persiguen solo portátiles Windows. Buscan el lugar donde un único acceso les permita multiplicar el daño. cPanel y WHM, por su presencia masiva en el alojamiento web, encajan perfectamente en ese patrón.
Quien administre un servidor con cPanel debería actuar ya: actualizar, reiniciar servicios, comprobar indicadores de compromiso, revisar credenciales, validar copias de seguridad y monitorizar actividad anómala. En esta campaña, cada hora cuenta.
Preguntas frecuentes
¿Qué es CVE-2026-41940?
Es una vulnerabilidad crítica de omisión de autenticación en cPanel, WHM y WP Squared. Permite que un atacante remoto pueda acceder al panel de administración sin credenciales válidas en sistemas vulnerables.
¿Qué es el ransomware Sorry?
Es un ransomware para Linux que está siendo desplegado en servidores comprometidos mediante esta vulnerabilidad. Cifra archivos, añade la extensión “.sorry” y deja una nota de rescate llamada README.md.
¿Actualizar cPanel elimina el riesgo?
Actualizar cierra la vulnerabilidad, pero no elimina una posible intrusión previa. Si el servidor pudo estar expuesto, hay que revisar sesiones, registros, credenciales, claves SSH, tareas cron y posibles puertas traseras.
¿Qué deben hacer los administradores afectados?
Aplicar el parche oficial, reiniciar cpsrvd, ejecutar herramientas de detección, cambiar contraseñas, revisar logs, comprobar persistencia y restaurar desde copias limpias si hay cifrado o señales de compromiso.
