Vulnerabilidad crítica de autenticación en cPanel y WHM (CVE-2026-41940)
cPanel ha corregido la vulnerabilidad de autenticación en todas las versiones compatibles, lo que ha provocado bloqueos de puertos por parte de Namecheap y limitaciones de acceso temporales.
Las actualizaciones solucionan un problema que afecta a varias rutas de autenticación y que podría permitir a un atacante obtener acceso al panel de control.
El problema afecta a todas las versiones superiores a 11.40, según una alerta publicada por cPanel el martes. La vulnerabilidad se ha corregido en las siguientes versiones:
- 11.110.0.97
- 11.118.0.63
- 11.126.0.54
- 11.132.0.29
- 11.136.0.5
- 11.134.0.20
"Si su servidor no ejecuta una versión compatible de cPanel que sea apta para esta actualización, le recomendamos encarecidamente que actualice su servidor lo antes posible, ya que también podría verse afectado", señaló cPanel.
Si bien cPanel no compartió detalles sobre la vulnerabilidad, la empresa de alojamiento web y registro de dominios Namecheap reveló que "se relaciona con una vulnerabilidad de autenticación que podría permitir el acceso no autorizado al panel de control".
"Una vulneración de cPanel es sustancialmente diferente a la vulneración de un único sitio web de un cliente. WHM otorga acceso administrativo de administrador al servidor", explicó Hadrian. "Un atacante con este acceso puede leer todas las cuentas de alojamiento de los clientes, modificar archivos y bases de datos, crear cuentas con puertas traseras, instalar malware, robar credenciales y acceder a las redes de los clientes".
Como medida de precaución, la empresa ha aplicado una regla de firewall para bloquear el acceso a los puertos TCP 2083 y 2087. Esta medida, según indicó, restringirá temporalmente el acceso de los clientes a sus interfaces de cPanel y WHM hasta que se aplique el parche completo. "Nuestro equipo está monitoreando activamente la situación y aplicará el parche oficial en todos los servidores compatibles tan pronto como esté disponible", señaló Namecheap. "El acceso a sus paneles de control se restablecerá inmediatamente una vez que el parche se haya implementado correctamente".
Según informes en Reddit, la vulnerabilidad ha sido explotada activamente y Daniel Pearson, CEO de KnownHost, señaló que "sin duda se ha utilizado en la práctica y se ha detectado durante al menos los últimos 30 días, si no más".
La vulnerabilidad ahora se identifica como CVE-2026-41940 y se explota como Zero-Day y tiene una puntuación CVSS de 9.8. En una actualización de su aviso, cPanel indicó que también se han implementado parches para WP Squared v136.1.7.
En una publicación compartida en LinkedIn, Eye Security informó haber identificado más de 2 millones de instancias de cPanel conectadas a Internet, aunque actualmente se desconoce cuántas de ellas tienen la actualización automática habilitada y son vulnerables a la falla.
watchTowr Labs, que publicó detalles técnicos adicionales sobre la falla, indicó que los atacantes pueden explotar inconsistencias en el flujo de autenticación de cPanel para eludir las comprobaciones de inicio de sesión y acceder a las cuentas.
En su propio aviso sobre la vulnerabilidad, Rapid7 señaló que la CVE-2026-41940 se debe a una inyección de retorno de carro y salto de línea (CRLF) en los procesos de inicio de sesión y carga de sesión de cPanel y WHM, lo que permite a un atacante obtener acceso administrativo no autorizado a los sistemas afectados.
- La sesión tiene token_denied y cp_security_token, y el método es badpass.
- Sesión preautenticada con atributos autenticados.
- Cualquier sesión con tfa_verified pero sin un origen válido.
- Campo de contraseña con saltos de línea.
Fuente: THN
0 Comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!