cPanel y su panel de administración WHM gobiernan una parte enorme del hosting compartido de internet. Por eso CVE-2026-41940 da tanto miedo: es un bypass de autenticación que deja entrar a cualquiera al panel sin necesidad de usuario ni contraseña. Con CVSS 9.8/9.3, un atacante remoto y sin autenticar puede saltarse el login y operar como si fuera el administrador del servidor.
El fallo se clasifica como CWE-306, ausencia de autenticación para una función crítica. Dicho en plano: una parte del flujo de login que debería exigir credenciales sencillamente no lo hacía. Una vez dentro de WHM, el atacante tiene las llaves de todo el servidor: cuentas de cliente, archivos, bases de datos, claves SSH y tareas programadas.
Por qué fue tan grave
Lo preocupante no fue solo el fallo, sino lo rápido que se convirtió en negocio. CISA lo incorporó a su catálogo de vulnerabilidades explotadas activamente (KEV) con fecha límite de remediación el 3 de mayo de 2026, lo que obligaba a las agencias federales de EE. UU. a parchear de inmediato. Esa entrada en el KEV suele ser la señal de que algo se está usando en ataques reales, y aquí se cumplió con creces.
Sobre el terreno aparecieron varios grupos a la vez. El más visible desplegó un cifrador escrito en Go para Linux que añade la extensión .sorry a los ficheros y exige el rescate por Tox. Censys llegó a contar 8.859 hosts con archivos cifrados con esa extensión, de los cuales 7.135 corrían cPanel/WHM. En muchos casos los atacantes también borraron las copias de seguridad y dejaron páginas de defacement pidiendo 0,1 BTC.
No fue lo único. Una variante de la botnet Mirai (nuclear.x86) apuntó a instalaciones de cPanel para crear cuentas de administrador persistentes, desactivar los registros y soltar mineros de criptomonedas y bots de DDoS. Investigadores también señalaron campañas de espionaje contra entidades gubernamentales y militares en el sudeste asiático, con víctimas en Filipinas, Laos, Canadá, Sudáfrica y EE. UU.
Cómo saber si te afecta y qué hacer
Si administras un servidor con cPanel/WHM expuesto a internet, asume que has sido un objetivo y revisa el estado del sistema:
- Comprueba la versión instalada con
/usr/local/cpanel/cpanel -Vy confirma que tienes el parche aplicado. - Mira en
/var/cpanel/sessions/raw/por si hay ficheros de sesión pre-autenticación sospechosos. - Audita WHM por si han aparecido cuentas que no reconoces, claves SSH añadidas o cron jobs nuevos.
- Usa el script de detección actualizado de cPanel. La primera versión daba falsos positivos, así que asegúrate de tener la última.
Si encuentras señales de compromiso, no basta con parchear: el atacante ya pudo dejar persistencia. Reconstruye desde una copia limpia y rota todas las credenciales del servidor. Y como la extensión .sorry viene acompañada de borrado de backups, conviene comprobar que tus copias están fuera del alcance del propio servidor.
Este caso se parece bastante a otro que cubrimos: un bypass de autenticación en SmarterMail que también acabó en ransomware. Y el peso del catálogo KEV de CISA ya lo vimos con MongoBleed: cuando una vulnerabilidad entra ahí, el reloj corre en tu contra.