Soporte 24/7
Preguntas Frecuentes
 Panel de control
Saldo de Cuenta:    
cPanel acelera en seguridad: cinco CVEs parcheados, pero uno ya roto

cPanel acelera en seguridad: cinco CVEs parcheados, pero uno ya roto

May 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

El sprint semanal de seguridad de cPanel: Parchean cinco CVEs, pero uno ya falló

Si administras servidores con cPanel, seguro has visto cómo llegan las actualizaciones de seguridad una tras otra. No es un ritmo cómodo. Es más bien una alerta constante que no para de sonar.

El 13 de mayo, cPanel y WHM soltaron parches para cinco CVEs nuevos. Cubren varios tipos de fallos graves. Lo malo: un investigador, Shubham Shah, reveló horas después que al menos uno de esos parches no resuelve nada. Vamos a ver qué pasó y cómo afecta a tu hosting.

Las cinco vulnerabilidades: Tus peores miedos en detalle

Todos estos CVEs tienen severidad Alta. Sus puntuaciones CVSS llegan hasta 8.6. Aquí va el resumen:

CVE-2026-29205 (El parche que no parchea)

El caso estrella. Un atacante sin autenticar lee archivos cualquiera vía los endpoints de descarga en cpdavd. Fallo en filtros de ruta y permisos. CVSS: 8.6. El parche no lo tapa del todo. Sigues en riesgo post-update.

CVE-2026-29206 (Inyección SQL en sqloptimizer)

Inyección SQL con privilegios root en la herramienta sqloptimizer, si activas logs de queries lentas. Necesita interacción del usuario, pero el impacto es brutal. CVSS: 8.1.

CVE-2026-32991 (Escalada en Team Manager)

En entornos multi-tenant con Team Manager, un miembro sube a owner del equipo. CVSS: 7.1. Si revendes cuentas cPanel, esto te duele directo.

CVE-2026-32992 (SSL desactivado en DNS Cluster)

Desactivaron la verificación SSL en el sistema DNS Cluster. Un atacante MITM en tu red interna roba credenciales. CVSS: 8.2. De las que quitan el sueño.

CVE-2026-32993 (Inyección CRLF)

Inyección CRLF sin autenticar en /unprotected/nova_error. Permite manipular headers. Igual que el truco del ransomware .sorry en abril. CVSS: 8.3.

El lío real: Parches a toda prisa

En Reddit, el equipo de cPanel confirmó su ritmo: lanzamientos semanales de seguridad. Fechas lo prueban: 28 abril, 8 mayo, 13 mayo. Viene otro pronto.

Esto grita triage en WebPros. Encuentran huecos y los tapan rápido. Mejor que ignorarlos, claro. Pero la presión genera errores, como en CVE-2026-29205. Velocidad por precisión.

Qué hacer ya mismo

  1. No confíes ciegamente en los parches. Instala los del 13 de mayo en tu línea de cPanel/WHM. Pero CVE-2026-29205 pide más: vigílalo aparte.

  2. Enfócate en CVE-2026-29205. Lectura de archivos sin login es explotable ya. Revisa accesos raros en endpoints /dav.

  3. Actualiza todo el ecosistema. Cubre WP Squared y más plataformas WebPros con estos parches.

  4. Verifica tu versión. Van de 11.86 a 11.136. En CloudLinux 6, pasa primero al tier cl6110.

  5. Espera el parche bueno. El fix real de CVE-2026-29205 está en camino. Trátalo como crítico.

El panorama completo

No es un caso aislado. cPanel está bajo lupa, destapando fallos en cadena y parchándolos a presión. Es lo responsable, pero agota a los admins que corren detrás.

El ransomware .sorry de abril mostró el caos sin parches. Este mayo, el diluvio de CVEs enseña lo que pasa al descubrirlos en masa. Ninguno es perfecto, pero al menos son abiertos con los plazos.

Mantén tu infra en NameOcean al día. Monitorea sin parar. No bajes la guardia con estos CVEs, ni con sus "parches".

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR DE DA ZH-HANS EN