Una vulnerabilidad crítica en cPanel está siendo explotada activamente a escala global. Según The Hacker News, más de 44.000 direcciones IP participan en campañas coordinadas de scanning y ataques de fuerza bruta contra servidores con este software de gestión. La falla, catalogada como CVE-2026-41940, no requiere autenticación previa para ser explotada y tiene severidad máxima en CVSS.
La vulnerabilidad cPanel hosting impacta directamente la capa de administración de los servidores web. cPanel es el software de gestión de hosting más utilizado a nivel global, presente en millones de servidores que alojan sitios de empresas, instituciones y organismos públicos. Un atacante que logre explotar la falla puede comprometer no solo un sitio, sino todos los sitios alojados en ese servidor: datos, credenciales y configuraciones quedan expuestos de forma simultánea.
Cómo operan los atacantes
La falla permite la ejecución remota de código sin necesidad de credenciales válidas. Los atacantes primero realizan un escaneo masivo para identificar servidores vulnerables expuestos en internet y luego aplican fuerza bruta sobre los paneles de administración. Una vez dentro, el paso típico es la instalación de webshells para mantener acceso persistente, la exfiltración de bases de datos o el uso del servidor comprometido como plataforma para ataques secundarios.
El volumen de 44.000 IPs involucradas en esta vulnerabilidad crítica en cPanel apunta a una operación organizada, no a ataques oportunistas aislados. Los investigadores detectaron que la actividad maliciosa se intensificó en los días posteriores a la divulgación pública de la CVE: un patrón habitual donde los grupos de amenaza priorizan explotar la ventana de tiempo en que la falla es conocida pero los parches aún no se han aplicado masivamente.
Vulnerabilidad cPanel hosting en Chile
En Chile, cPanel tiene penetración relevante en el mercado de hosting compartido y administrado. Proveedores locales alojan en estos servidores sitios de pymes, municipios, instituciones educacionales y servicios públicos que generalmente no cuentan con equipos de seguridad propios. La dependencia en la infraestructura del proveedor para estas organizaciones es total: si el servidor está comprometido, ellas también lo están, sin saberlo.
La dimensión regulatoria es igualmente relevante. Bajo la Ley Marco de Ciberseguridad (Ley 21.663), los operadores de servicios esenciales tienen la obligación de reportar incidentes que afecten la disponibilidad o integridad de sus sistemas a la ANCI. Un compromiso masivo de servidores cPanel que alojen infraestructura crítica chilena podría activar este mecanismo y generar obligaciones inmediatas de notificación. Los CISOs de organizaciones con hosting tercerizado deben verificar el estado de sus proveedores esta semana.
La prioridad inmediata es identificar si la organización o sus proveedores utilizan cPanel. El fabricante ya publicó el parche para la CVE-2026-41940 y su aplicación es urgente. Los administradores de sistemas deben revisar logs de acceso en busca de patrones de fuerza bruta y confirmar si algún servidor pudo haberse comprometido antes de la actualización.
Para quienes subcontratan el hosting, el paso correcto es contactar al proveedor y exigir confirmación escrita del estado de actualización de sus servidores. Si la respuesta no llega en menos de 48 horas, eso es información sobre las capacidades reales de respuesta del proveedor. Esta situación también es una oportunidad para revisar contratos de servicio y verificar que incluyan obligaciones explícitas de seguridad y tiempos de respuesta ante vulnerabilidades críticas.
Fuente: The Hacker News — https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html