Un fallada crítica a cPanel i WebHost Manager (WHM), el tauler de control més utilitzat en el sector del hosting, ha encès totes les alarmes a la indústria. La vulnerabilitat permet a un atacant colar-se al panell sense usuari ni contrasenya i fer-se amb el comandament del servidor, especialment delicat en entorns d'allotjament compartit on es gestionen milers de llocs des d'una sola màquina.
El problema, catalogat com CVE-2026-41940 i amb una severitat propera al màxim, ja està sent explotat a la pràctica, segons han confirmat diferents firmes de seguretat i equips de resposta a incidents. Agències públiques de ciberseguretat i proveïdors d'allotjament a tot el món, incloent-hi Europa i Espanya, han hagut de reaccionar a contrarellotge per desplegar pegats i limitar l'accés als panells afectats.
En què consisteix la fallada crítica a cPanel
La vulnerabilitat afecta directament la lògica d'autenticació de cPanel i WHM. En termes senzills, el programari genera i emmagatzema la sessió en disc abans que l'autenticació es completi correctament, cosa que obre la porta a un bypass d'autenticació remot: n'hi ha prou amb una petició HTTP manipulada al procés de servei (cpsrvd) per obtenir una sessió vàlida sense credencials.
Aquest comportament s'ha registrat internament com CPANELL-52908 i està present en pràcticament totes les branques suportades del panell, incloses instal·lacions de DNSOnly i WP Squared, una eina de gestió pensada per a llocs WordPress. Les correccions publicades inclouen builds com ara 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 i 11.136.0.5, mentre que les versions són fora de suport i especialment de fora de suport i de les versions fora de.
El que és greu no és només la decisió tècnica, sinó el que implica a la pràctica: un intrús amb una sessió d'administrador pot controlar comptes de hosting, bases de dades, correu electrònic, certificats SSL i arxius allotjats al servidor. En un proveïdor d'allotjament compartit, això pot significar la caiguda en cascada de desenes o centenars de webs d'empreses, botigues en línia i administracions públiques.
Diferents anàlisis tècniques, algunes publicades després de fer enginyeria inversa del pegat, assenyalen que ja n'hi havia exploits funcionals circulant abans que l'avís es fes públic. El risc, doncs, no és hipotètic: hi ha evidències d'intents d'accés no autoritzat contra infraestructures reals.
Una superfície d'atac massiva: milions de llocs en joc
cPanel i WHM són, des de fa anys, el estàndard de facto per a l'administració de hosting compartit, VPS i servidors dedicats. Gestionen des de tasques bàsiques —creació de correus, dominis i bases de dades— fins a configuracions avançades de seguretat i rendiment. Precisament per aquesta centralitat, una fallada d'autenticació en aquesta capa es tradueix en un risc sistèmic.
Diferents estimacions parlen de desenes de milions de dominis i més de 40 milions d'usuaris que depenen daquesta tecnologia, amb més dun milió dinstàncies cPanel accessibles directament des dInternet. Tot i que el nombre de servidors únics és molt inferior al de webs, l'impacte potencial continua essent enorme, sobretot a proveïdors d'allotjament amb gran concentració de clients.
Organismes com la agència nacional de ciberseguretat de Canadà i diferents CSIRTs europeus han advertit que la vulnerabilitat es pot fer servir per comprometre llocs allotjats en servidors compartits gestionats per grans empreses de hosting. Als seus comunicats, qualifiquen l'explotació com a “altament probable” i reclamen acció immediata per part d'administradors i proveïdors.
L'escenari preocupa de manera especial pimes, comerços electrònics, mitjans digitals i startups que resideixen en plans compartits a baix cost. En aquests entorns, una única intrusió sobre el panell pot derivar en robatori de dades, injecció de codi maliciós, enviament de correu brossa des dels dominis afectats o redireccions fraudulentes cap a pàgines de phishing.
Respostes dels grans proveïdors de hosting
Davant la severitat de la sentència, alguns dels principals actors del sector han optat per mesures dràstiques. Namecheap, per exemple, va decidir bloquejar temporalment els ports 2083 i 2087 -els punts d'accés web a cPanel i WHM- per als seus clients mentre desplegava les actualitzacions de seguretat a la seva infraestructura.
HostGator va seguir una línia similar, qualificant l'incident com un exploit crític de bypass d'autenticació i assegurant que havia aplicat els seus sistemes. Altres plataformes de referència han recomanat als administradors amb accés root executar la utilitat /scripts/upcp –force per forçar l'actualització a les revisions corregides, en lloc desperar a la finestra de manteniment automàtica.
En paral·lel, el propi fabricant ha instat tots els clients a verificar manualment la versió de les instal·lacions de cPanel, WHM, DNSOnly i WP Squared, ia revisar els registres d'accés a la recerca d'activitats anòmales des de les darreres setmanes. La consigna és clara: qualsevol servidor exposat a internet executant una versió vulnerable s'ha de tractar com a actiu d'alt risc.
Per a molts proveïdors europeus amb centres de dades a Espanya, Alemanya, França o els Països Baixos, la prioritat ha estat equilibrar la continuïtat de servei amb la seguretat: talls puntuals d'accés al panell, actualitzacions forçades en horari nocturn i comunicació directa amb els clients empresarials per explicar l'abast de la bretxa.
Explotació activa des del febrer i senyals d'abús
Un dels aspectes més inquietants del cas és la cronologia dels intents dexplotació. Empreses d'allotjament com KnownHost van afirmar haver identificat accessos sospitosos vinculats a aquesta sentència almenys des del 23 de febrer, setmanes abans que cPanel publiqués els pegats el 28 d'abril.
Daniel Pearson, CEO de KnownHost, va relatar en fòrums especialitzats que la seva companyia va veure al voltant de 30 servidors amb traces d'intents d'accés no autoritzat dins una xarxa composta per milers de màquines. Tot i que no van detectar compromisos confirmats, sí que van observar un patró d'escaneigs i intents d'intrusió que es va allargar en el temps.
Aquesta situació encaixa amb el patró habitual en grans vulnerabilitats: primer apareixen proves de concepte i exploits privats, que determinats grups utilitzen de manera discreta contra objectius concrets; després, un cop el pegat surt a la llum i es publica més informació tècnica, el volum d'atacs es dispara perquè altres actors repliquen o adapten l'exploit.
Alguns informes de CSIRTs i de companyies de seguretat que operen a Europa assenyalen que els scripts automatitzats d'atac redueixen dràsticament la finestra entre la publicació del pegat i els intents massius dexplotació. En altres paraules: així que es va conèixer CVE-2026-41940, van començar les proves massives contra panells cPanel exposats, molts d'ells pertanyents a petits proveïdors regionals que encara no havien actualitzat.
Impacte per a empreses, pimes i startups a Espanya i Europa
Més enllà dels grans noms del sector, el cop el senten sobretot els que depenen del hosting compartit com a base del seu negoci digital. Startups tecnològiques, agències de màrqueting, botigues en línia i projectes SaaS que donen servei a Espanya i la resta d'Europa solen concentrar nombrosos llocs de clients en servidors gestionats mitjançant cPanel, confiant que el proveïdor s'encarregarà de la seguretat.
Aquest tipus d'incident posa en relleu que la responsabilitat és compartida. Encara que el proveïdor apliqui pegats, correspon a les empreses vigilar els accessos als panells, activar autenticació de dos factors (2FA) sempre que estigui disponible i limitar laccés per IP o VPN quan sigui possible. En cas contrari, només cal que una credencial reutilitzada o un panell exposat sense reforços addicionals permetin a un atacant consolidar l'accés fins i tot després del pegat.
En el cas d'organitzacions que manegen dades sensibles subjectes a normatives com el RGPD, una intrusió a través de cPanel pot derivar en obligació de notificar bretxes a autoritats i usuaris, auditories forenses i costos de recuperació gens menyspreables. El problema no és només el temps d'inactivitat, sinó l'impacte legal i de reputació si es filtren dades personals o financeres.
Per a projectes de comerç electrònic, fintech, serveis de subscripció o plataformes que treballen amb actius digitals, la dependència d'una infraestructura de hosting tradicional continua sent total: si el tauler de control cau en mans d'un atacant, podeu interrompre portals de clients, passarel·les de pagament, sistemes de suport i comunicacions amb un parell de clics.
Mesures urgents per a administradors i responsables de negoci
Tot i que el desplegament de pegats per part de cPanel i els grans proveïdors ja està en marxa, els administradors no es poden limitar a donar per resolt l'assumpte. La primera acció recomanada és comprovar la versió exacta de cPanel o WHM que sexecuta en cada servidor i assegurar-se que coincideix amb algun dels builds corregits.
Si hi ha accés root, els experts insisteixen a executar /scripts/upcp –force per forçar l'actualització i evitar que un desfasament als cicles de manteniment deixi el sistema exposat durant més temps del necessari. En servidors gestionats per tercers, convé contactar immediatament amb el proveïdor i preguntar explícitament si el pegat per a CVE-2026-41940 està aplicat.
El següent pas és una revisió detallada dels logs d'autenticació i administració dels darrers mesos, posant el focus en inicis de sessió des d'adreces IP inusuals, accessos en horaris atípics, creació de nous comptes de hosting o canvis sobtats en la configuració del servidor i dels dominis allotjats.
Més enllà d'aquest incident concret, és recomanable introduir-hi capes addicionals de seguretat als accessos al panell: 2FA, filtrat per IP, enduriment del tallafocs, monitorització específica dels ports d'administració i escanejos periòdics a la recerca de codi maliciós o backdoors. Algunes empreses europees estan aprofitant la conjuntura per revisar si la seva arquitectura ha de seguir en hosting compartit o migrar a VPS dedicats o infraestructures al núvol amb més aïllament.
Usuaris finals i bones pràctiques davant de bretxes de servidors
Encara que són els proveïdors i administradors els qui han de pegats, els usuaris de serveis en línia allotjats a cPanel també poden reduir l'impacte d'una possible intrusió. La primera regla és senzilla: compartir només les dades imprescindibles amb cada lloc web; el que no s'emmagatzema al servidor, no es pot filtrar.
En compres en línia, convé evitar marcar l'opció de guardar les dades de la targeta per a futures compres i, sempre que sigui possible, fer servir el pagament com a convidat en lloc de crear un compte permanent. Això limita la quantitat dinformació personal i financera associada a un únic perfil, reduint el dany en cas de bretxa.
Una altra mesura clau és no reutilitzar contrasenyes entre serveis: si un lloc allotjat a un servidor compromès pateix una filtració, una combinació de correu i contrasenya repetida pot facilitar atacs en cadena contra altres plataformes. L'ús d'un gestor de contrasenyes ajuda a generar claus úniques i complexes sense memoritzar-les.
Si hi ha sospites que una web en què es confia ha estat compromesa, els especialistes recomanen canviar immediatament la contrasenya, activar autenticació en dos passos quan estigui disponible i desconfiar de correus o missatges que arribin en nom de la plataforma, verificant sempre els avisos a través del lloc oficial. La calma també juga a favor: molts atacs de pesca es basen en el “corre que et quedes sense compte”.
L'incident de la vulnerabilitat crítica a cPanel deixa clar fins a quin punt la columna vertebral de l'allotjament web continua sent un objectiu prioritari per als atacants. Un sol bug al tauler de control pot posar en perill milions de webs, des de petits comerços electrònics a Espanya fins a grans organitzacions europees, i obliga tota la cadena —fabricant, hostings i clients— a moure fitxa ràpida. Els qui revisin versions, apliquin pegats sense demora i reforcin l'accés als seus panells estaran en millor posició per trampejar aquesta i properes vulnerabilitats que, segurament, no trigaran a arribar.