🖥️
🔧 Acción urgente para administradores

VPS con cPanel y CVE-2026-41940: cómo aplicar el parche manualmente paso a paso

Si tu cPanel está en DigitalOcean, Linode, Hetzner, AWS Lightsail o cualquier servidor virtual auto-administrado, la responsabilidad del parche es completamente tuya. Y el tiempo corre.

🗓 8 Mayo 2026⏱ 7 min lectura⏰ Actualiza esta semana
La diferencia crítica entre hosting gestionado y VPS propio

En un hosting compartido (Namecheap, Hostgator, etc.), el proveedor aplica el parche en sus servidores. En un servidor virtual auto-administrado en DigitalOcean, Linode, Hetzner o similar, tú eres el administrador del servidor. El parche no llega de forma automática. Si no lo aplicas, el servidor sigue siendo vulnerable.

Verifica tu versión ahora mismo

SSH al servidor — ejecutar como root
# Verificar versión actual de cPanel
/usr/local/cpanel/cpanel -V

# Si la versión es ANTERIOR a estas, el servidor es vulnerable:
11.136.0.5  ← versión mínima segura en rama release
11.134.0.20 ← versión mínima en rama 134
11.132.0.29 ← versión mínima en rama 132
11.126.0.54 ← versión mínima en rama 126

# Si tu versión es anterior a cualquiera de estas, actualiza de inmediato

Aplicar el parche — 3 comandos

Proceso de actualización completo
# Paso 1 — Forzar actualización (5-20 minutos, no interrumpir)
/scripts/upcp --force

# Paso 2 — Purgar sesiones comprometidas que puedan estar activas
rm -f /var/cpanel/sessions/raw/* /var/cpanel/sessions/cache/*

# Paso 3 — Reiniciar el servicio de cPanel
systemctl restart cpanel

# Verificar que el parche se aplicó correctamente
/usr/local/cpanel/cpanel -V
# Debe mostrar 11.136.0.5 o superior

Si no puedes aplicar el parche ahora mismo — contención urgente

Si por razones operacionales no puedes aplicar el parche de inmediato (ventana de mantenimiento, dependencias, etc.), implementa esta contención como medida temporal. No reemplaza al parche — solo gana tiempo.

Contención temporal — bloquear puertos cPanel desde Internet
# Bloquear acceso externo a los puertos de cPanel/WHM
# Reemplaza TU.IP.DE.ADMIN por tu IP real de gestión

iptables -A INPUT -p tcp --dport 2087 ! -s TU.IP.DE.ADMIN -j DROP
iptables -A INPUT -p tcp --dport 2083 ! -s TU.IP.DE.ADMIN -j DROP
iptables -A INPUT -p tcp --dport 2086 ! -s TU.IP.DE.ADMIN -j DROP
iptables -A INPUT -p tcp --dport 2082 ! -s TU.IP.DE.ADMIN -j DROP

# Esto bloquea el vector de ataque desde Internet pero mantiene
# el acceso desde tu IP de administración.
# APLICA EL PARCHE tan pronto como sea posible.

Después del parche — auditoría de compromiso

Si tu servidor estuvo expuesto antes del parche —especialmente durante la ventana de zero-day de febrero a abril— aplicar el parche no es suficiente. Debes verificar que no haya persistencia instalada.

  • 1Busca scripts maliciosos recientes: find /home -name "*.php" -newer /var/cpanel/version 2>/dev/null
  • 2Verifica claves SSH no autorizadas: find /home /root -name "authorized_keys" -exec cat {} \;
  • 3Revisa usuarios con acceso root adicionales: awk -F: '($3==0){print $1}' /etc/passwd
  • 4Busca archivos .sorry (ransomware): find / -name "*.sorry" 2>/dev/null | head -20
  • 5Ejecuta el script de detección oficial de cPanel disponible en el aviso de seguridad para CVE-2026-41940.
  • 6Rota todas las credenciales: contraseñas root, revendedores WHM, FTP, bases de datos, tokens de API y claves SSH.
Habilita las actualizaciones automáticas de seguridad

Una de las razones por las que tantos servidores VPS quedaron sin parche fue tener las actualizaciones automáticas desactivadas. Edita /etc/cpupdate.conf y asegúrate de tener UPDATES=daily y TIER=release. Los parches de seguridad críticos deben instalarse automáticamente sin depender de intervención manual.

Fuentes