El 28 de abril de 2026, el equipo de seguridad de cPanel publicó un aviso crítico que afecta a millones de servidores en todo el mundo. La vulnerabilidad CVE-2026-41940 no es algo menor: permite que un atacante tome control remoto de un servidor sin necesitar credenciales válidas.
Si tienes un sitio web en un hosting que usa cPanel, esto te interesa directamente.
Qué es CVE-2026-41940
CVE-2026-41940 es una vulnerabilidad de ejecución remota de código (RCE) descubierta en el módulo de gestión de sesiones de cPanel, en versiones anteriores a la 118.0.30.
En términos simples: un atacante puede enviar una solicitud especialmente construida al puerto 2083, el que usa cPanel para su interfaz, y ejecutar comandos en el servidor como si fuera el administrador. Sin usuario. Sin contraseña. Sin dejar rastro evidente.
El fallo está en cómo cPanel valida ciertos parámetros durante el proceso de autenticación. Una función no filtraba correctamente algunos valores de entrada, lo que abre una puerta trasera que puede ser explotada de forma remota.
La severidad oficial según CVSS (Common Vulnerability Scoring System) es 9.8 de 10, la clasificación prácticamente más alta posible. Eso la pone en la misma categoría que vulnerabilidades que han derribado infraestructuras críticas en años anteriores.
No es la primera vez que cPanel tiene un fallo grave. En 2021 apareció CVE-2021-38587 con una puntuación similar. Pero esta nueva vulnerabilidad es más fácil de explotar porque no requiere ningún tipo de acceso previo al servidor.
A cuántos sitios afecta
cPanel es el panel de control más usado en el mundo del hosting compartido y VPS. Se estima que está instalado en más de 40 millones de sitios activos a nivel global.
En Chile, la gran mayoría de los proveedores de hosting usan cPanel como interfaz principal para sus clientes. Si tienes tu sitio en un hosting chileno que no actualizó sus servidores a tiempo, estás expuesto.
Los tipos de sitios en riesgo son:
- Tiendas online con datos de clientes y transacciones guardados en base de datos
- Sitios corporativos con correo empresarial vinculado al servidor
- Blogs y medios digitales con información de suscriptores
- Portafolios con acceso FTP activo
- Cualquier WordPress alojado en hosting compartido con cPanel sin actualizar
Lo más preocupante no es el ataque dirigido. Es el ataque automatizado. Los scripts que explotan vulnerabilidades conocidas no buscan a una empresa específica, escanean rangos completos de IP y atacan todo servidor vulnerable que encuentran. Eso ocurre en minutos, no en días.
Según los registros de honeypots en América Latina, en las dos semanas siguientes al aviso del 28 de abril se detectaron más de 120.000 intentos de explotación activa en la región. Chile no fue la excepción.
Cómo funciona el ataque
El ataque se ejecuta en dos etapas y no requiere conocimientos avanzados. Hay herramientas públicas disponibles en GitHub que lo automatizan completamente.
Primera etapa: el atacante escanea rangos de IP en busca de servidores con el puerto 2083 o 2087 abierto, que son los puertos por defecto de cPanel. Esto toma minutos con herramientas como Shodan o Masscan.
Segunda etapa: envía la solicitud maliciosa al endpoint vulnerable dentro del proceso de autenticación. Si el servidor no está parcheado, consigue ejecución de código con privilegios de usuario del sistema.
Desde ese punto, el atacante puede:
- Leer y modificar archivos del sitio, incluido
wp-config.phpcon las credenciales de la base de datos - Instalar backdoors PHP para mantener acceso permanente aunque se cambie la contraseña
- Robar bases de datos completas con correos, contraseñas hasheadas y datos de clientes
- Usar el servidor para enviar spam masivo o lanzar ataques DDoS a terceros
- Cifrar archivos y exigir rescate (ransomware)
- Crear cuentas de correo para campañas de phishing
Una vez dentro, la limpieza es complicada. Un backdoor bien instalado puede sobrevivir a la reinstalación de WordPress. Por eso la prevención vale mil veces más que la remediación.
Estás protegido en AltaHosting
Si tu hosting está en AltaHosting, puedes estar tranquilo. Aplicamos el parche para CVE-2026-41940 el 29 de abril de 2026, un día después del aviso oficial de cPanel. Todos nuestros servidores quedaron actualizados antes de que comenzaran los ataques masivos en la región.
No esperamos a que un cliente reportara un problema. Nuestro proceso de seguridad es proactivo: seguimos los boletines del NIST, los avisos oficiales de cPanel y las alertas del equipo de seguridad de LiteSpeed de forma diaria.
Más allá del parche, los clientes de AltaHosting cuentan con capas adicionales de protección:
- WAF (Web Application Firewall) activo en todos los planes, que bloquea patrones de ataque en tiempo real
- ModSecurity con reglas actualizadas semanalmente, capaz de bloquear exploits incluso antes de que exista el parche oficial
- Restricción de acceso a puertos administrativos, con monitoreo de intentos de acceso anómalos
- Backups diarios automáticos, para restaurar el sitio en el peor escenario posible
- Alertas de seguridad: si detectamos actividad sospechosa en tu cuenta, te notificamos de inmediato
- Cloudflare incluido en todos los planes, que actúa como primera línea de defensa filtrando tráfico malicioso antes de que llegue al servidor
Nuestro equipo técnico revisa los boletines de seguridad todos los días hábiles. Ante vulnerabilidades críticas, actuamos de inmediato, sin esperar ventanas de mantenimiento programadas.
Qué más puedes hacer
Aunque AltaHosting ya cubre el parche y las capas adicionales, hay acciones que tú puedes tomar para fortalecer tu sitio desde tu lado.
Activa 2FA en cPanel. Ve a la sección Seguridad dentro de tu panel y activa la autenticación de dos factores. Con 2FA, aunque alguien obtenga tu contraseña, no puede entrar sin el segundo factor desde tu celular.
Cambia tu contraseña de cPanel si tiene más de 6 meses. Usa una contraseña de al menos 12 caracteres con números, mayúsculas y símbolos. No la uses en ningún otro servicio.
Revisa los archivos de tu WordPress periódicamente. Si aparecen archivos PHP que no reconoces en directorios como wp-content/uploads, es señal de alerta. El plugin Wordfence tiene un escáner gratuito que detecta archivos maliciosos.
Mantén todo actualizado. WordPress, plugins y temas. Una vulnerabilidad en un plugin desactualizado puede ser tan grave como una falla en el servidor. Activa las actualizaciones automáticas para plugins de seguridad.
No reutilices credenciales. Tu contraseña de cPanel, la de WordPress, la de la base de datos y la del correo deben ser todas diferentes. Si comprometen una, no quieres que comprometan todo.
Conclusión
CVE-2026-41940 es un recordatorio de que la seguridad de tu sitio es compartida, depende de ti (o tu webmaster) y de quién administra tu servidor y qué tan rápido reacciona ante amenazas nuevas.
No todos los hostings son iguales. Algunos parchean en horas. Otros tardan semanas. Esa diferencia puede ser la diferencia entre un sitio seguro y una base de datos robada.
En AltaHosting actuamos el primer día. Nuestros clientes no tuvieron que preocuparse por nada.
Si no sabes cuándo fue la última actualización de seguridad en el servidor donde está tu sitio, o si tu proveedor no te ha comunicado nada al respecto, ya tienes información suficiente para tomar una decisión.
Tu sitio web es tu negocio. No vale la pena dejarlo en manos de un servidor desactualizado.
¿Quieres hosting seguro en Chile? Prueba AltaHosting 5 días gratis sin tarjeta → altahosting.cl
