cPanel ha publicado nuevas actualizaciones para abordar
tres vulnerabilidades en cPanel y Web Host Manager (WHM) que podrían
explotarse para lograr escalada de privilegios, ejecución de código y
denegación de servicio.
La lista de vulnerabilidades es la siguiente:
-
CVE-2026-29201
(CVSS: 4,3): una validación de entrada insuficiente del nombre del archivo
de función en la llamada de administración
«feature::LOADFEATUREFILE» que podría resultar en una lectura de
archivo arbitraria. -
CVE-2026-29202
(CVSS: 8,8): una validación de entrada insuficiente del parámetro
«plugin» en la llamada «create_user API» que podría resultar
en la ejecución arbitraria de código Perl en nombre del usuario del sistema
de la cuenta ya autenticada. -
CVE-2026-29203
(CVSS: 8,8): una vulnerabilidad de manejo de enlaces simbólicos inseguros
que permite a un usuario modificar los permisos de acceso de un archivo
arbitrario usando chmod, lo que resulta en una denegación de servicio
o una posible escalada de privilegios.
Las deficiencias se han solucionado en las siguientes versiones:
- cPanel y WHM –
- 11.136.0.9 y superior
- 11.134.0.25 y superiores
- 11.132.0.31 y superiores
- 11.130.0.22 y superiores
- 11.126.0.58 y superiores
- 11.124.0.37 y superiores
- 11.118.0.66 y superior
- 11.110.0.116 y superior
- 11.110.0.117 y superior
- 11.102.0.41 y superiores
- 11.94.0.30 y superior
- 11.86.0.43 y superior
- WP al cuadrado –
cPanel ha lanzado 110.0.114 como una actualización directa para los
clientes que todavía tienen CentOS 6 o CloudLinux 6.
Se recomienda a los usuarios que actualicen a las últimas versiones para una
protección óptima.
Si bien no hay evidencia de que las vulnerabilidades hayan sido explotadas en
la naturaleza, la divulgación se produce días después de que actores de
amenazas hayan utilizado otra
falla crítica
en el producto (CVE-2026-41940) como Zero-Day.
Censys dijo
que descubrió evidencia que sugiere que la vulnerabilidad de cPanel está
siendo utilizada como arma por múltiples terceros dentro de las 24 horas
posteriores a la divulgación pública, incluida
la implementación de variantes de botnet Mirai
y una cepa de ransomware llamada Sorry.
Fuente:
THN