cPanel ha publicado actualizaciones para abordar tres vulnerabilidades en cPanel y Web Host Manager (WHM) que podrían explotarse para lograr escalada de privilegios, ejecución de código y denegación de servicio.
La lista de vulnerabilidades es la siguiente:
- CVE-2026-29201 (Puntuación CVSS: 4.3) – Una validación de entrada insuficiente del nombre del archivo de función en la llamada de administración «feature::LOADFEATUREFILE» que podría resultar en una lectura de archivo arbitraria.
- CVE-2026-29202 (Puntuación CVSS: 8,8): una validación de entrada insuficiente del parámetro «plugin» en la llamada «create_user API» que podría resultar en la ejecución de código Perl arbitrario en nombre del usuario del sistema de la cuenta ya autenticada.
- CVE-2026-29203 (Puntuación CVSS: 8,8): una vulnerabilidad de manejo de enlaces simbólicos inseguros que permite a un usuario modificar los permisos de acceso de un archivo arbitrario usando chmod, lo que resulta en una denegación de servicio o una posible escalada de privilegios.
Las deficiencias se han solucionado en las siguientes versiones:
- cPanel y WHM –
- 11.136.0.9 y superior
- 11.134.0.25 y superiores
- 11.132.0.31 y superiores
- 11.130.0.22 y superiores
- 11.126.0.58 y superiores
- 11.124.0.37 y superiores
- 11.118.0.66 y superior
- 11.110.0.116 y superior
- 11.110.0.117 y superior
- 11.102.0.41 y superiores
- 11.94.0.30 y superior
- 11.86.0.43 y superior
- WP al cuadrado –
cPanel ha lanzado 110.0.114 como una actualización directa para los clientes que todavía tienen CentOS 6 o CloudLinux 6. Se recomienda a los usuarios que actualicen a las últimas versiones para una protección óptima.
Si bien no hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza, la divulgación se produce días después de que actores de amenazas hayan utilizado otra falla crítica en el producto (CVE-2026-41940) como un día cero para entregar variantes de la botnet Mirai y una cepa de ransomware llamada Sorry.