Nuevas fallas de cPanel y WHM permiten la ejecución de código y ataques DoS

CPanel ha revelado tres vulnerabilidades de seguridad críticas rastreadas como CVE-2026-29201, CVE-2026-29202 y CVE-2026-29203 que afectan su panel de control de alojamiento web cPanel & WHM ampliamente implementado y su plataforma WP Squared (WP2). Las fallas, corregidas el 8 de mayo de 2026, exponen los servidores a lecturas arbitrarias de archivos, inyección de código Perl y ataques de denegación de servicio (DoS), lo que hace que la aplicación inmediata de parches sea esencial para los proveedores de alojamiento y administradores de servidores.

En abril, otra vulnerabilidad de cPanel, identificada como CVE-2026-41940, fue explotada en estado salvaje, lo que permitió a los atacantes eludir por completo los mecanismos de inicio de sesión. CVE-2026-29201: Lectura arbitraria de archivos a través de recorrido de ruta La primera vulnerabilidad reside en la llamada de administración feature::LOADFEATUREFILE, que no logra validar adecuadamente el parámetro de nombre de archivo de característica. Este tipo de falla de recorrido de ruta puede exponer archivos confidenciales del sistema, incluidos archivos de configuración, credenciales y claves privadas, lo que brinda a los atacantes un punto de apoyo para un compromiso más profundo. CVE-2026-29202: Inyección de código Perl en la API de creación de usuarios La segunda y más grave falla es una vulnerabilidad de inyección de código Perl descubierta en la llamada API create_user, específicamente relacionada con el parámetro del complemento.

Cuando la entrada no desinfectada alcanza este parámetro, los atacantes pueden inyectar y ejecutar código Perl arbitrario en el servidor. Las vulnerabilidades de ejecución remota de código (RCE) de esta naturaleza conllevan el mayor riesgo y potencialmente permiten la toma total del servidor, la filtración de datos y la implementación de malware o puertas traseras en entornos alojados.

Consultar publicación original ↗