The Hacker News ha confirmat avui, 13 de maig de 2026, que l'actor d'amença Mr_Rot13 està explotant activament CVE-2026-41940 — un bypass crític d'autenticació a cPanel i WebHost Manager (WHM) amb puntuació CVSS 9.8 — per desplegar el backdoor Filemanager en servidors Linux compromesos. La vulnerabilitat permet a atacants remots no autenticats eludir completament el procés d'autenticació del panel i obtenir control elevat sobre el servidor. A Espanya, cPanel és el panel de gestió d'hosting més estes entre els principals proveïdors (Raiola Networks, Dinahosting, Webempresa, entre molts altres), amb desenes de milers de webs corporatives i de pimes directament exposades. La finestra d'acció és d'hores.

Què és CVE-2026-41940 i què està passant ara?

Els fets confirmats per The Hacker News i Hispasec són els següents:

  • Vulnerabilitat: bypass d'autenticació a cPanel i WHM, el programari de gestió d'hosting més utilitzat del món. Permet a un atacant remot no autenticat eludir completament el procés d'inici de sessió del panel i obtenir control elevat sobre el servidor.
  • CVSS 9.8 (Crític): la puntuació màxima pràctica. Sense credencials, sense interacció de l'usuari, explotable de forma remota i automatitzable.
  • Actor actiu: Mr_Rot13 està explotant activament la vulnerabilitat per instal·lar el backdoor Filemanager als servidors compromesos.
  • Backdoor Filemanager: un implant persistent que dóna a l'atacant accés continu al servidor, la capacitat d'executar ordres, pujar i descarregar fitxers, i mantenir presència fins i tot si cPanel és pedacat posteriorment si el backdoor no és eliminat.
  • Pedàç disponible: cPanel ha publicat una actualització que corregeix la vulnerabilitat. El problema és que milions d'instal·lacions depenen que el proveïdor d'hosting apliqui l'actualització, no l'usuari final.
  • Historial: CVE-2026-41940 va ser identificat fa setmanes. L'explotació activa amb actor identificat confirma que ja no és una amenaça teòrica.

Per què cPanel és l'objectiu més valuació per als atacants

  1. Accés a milers de llocs des d'un sol punt. Comprometent cPanel es controlen tots els llocs, bases de dades i correus del servidor de cop.
  2. Infraestructura de correu com a actiu d'alt valor. Accés al correu corporatiu de centenars de clients permet phishing dirigit i robatori de credencials a escala.
  3. Bases de dades directament accessibles. phpMyAdmin o accés directe a MySQL estàn a l'abast: botigues online, CRMs, dades de clients, formularis.
  4. Hosting providers com a vector de cadena de subministrament. Un únic punt d'entrada, milers de víctimes potencials.

Com funciona l'atac: del bypass al backdoor Filemanager

  1. Reconeixement: Shodan indexa milions d'instal·lacions als ports 2082, 2083, 2086 i 2087.
  2. Bypass d'autenticació: Mr_Rot13 explota CVE-2026-41940 per eludir completament el login de cPanel/WHM sense credencials.
  3. Accés elevat al panel: accés a tots els recursos: gestor de fitxers, SSH, cron jobs, base de dades, correu i registres.
  4. Desplegament del backdoor Filemanager: implant persistent instal·lat via el gestor de fitxers de cPanel que sobreviu a reinicis del servidor.
  5. Post-explotació: exfiltració de bases de dades, injecció de codi maliciós a les webs allotjades, robatori de credencials de correu o venda de l'accés.

Versions afectades i pedàços disponibles

Si ets sysadmin o gestiones el teu propi servidor amb cPanel:

  • Actualitzar via WHM → cPanel Store → Update o amb: /scripts/upcp --force
  • Verificar la versió instal·lada a WHM → Server Information.
  • Activar Auto Updates a WHM → Update Preferences si no està activat.

Si ets client d'hosting amb cPanel (sense accés a WHM):

  • Contactar el teu proveïdor d'hosting per confirmar que han aplicat el pedàç de CVE-2026-41940.
  • Proveïdors espanyols principals (Raiola, Dinahosting, Webempresa, IONOS): verificar les seves comunicacions de seguretat.

Lliçons clau, IoCs i checklist per a sysadmins, hosting providers i SOC

IoCs i senyals de comproms a buscar ara mateix:

  • Fitxers inusuals als directoris públics del servidor: “filemanager”, “fm.php”, “upload.php” o fitxers PHP recentment creats.
  • Noves entrades als cron jobs (WHM → Cron Jobs o /etc/cron*) no configurades per l'administrador.
  • Accessos als logs de WHM/cPanel des d'IPs desconegudes als ports 2082, 2083, 2086 i 2087.
  • Canvis als fitxers .htaccess dels llocs allotjats (redireccions no autoritzades).
  • Nous usuaris de cPanel creats sense autorització de l'administrador.
  • Trànsit sortint inusual cap a IPs o dominis no reconeguts.

Checklist d'acció per a sysadmins i hosting providers:

  • Pedacar ja: executar /scripts/upcp --force. És l'acció més urgent.
  • Cercar activament el backdoor Filemanager: ClamAV, Maldet o el Virus Scanner de cPanel.
  • Revisar tots els cron jobs i investigar qualsevol entrada no coneguda.
  • Rotar totes les credencials: root, cPanel, MySQL, claus SSH i API keys.
  • Revisar els logs dels últims 30 dies: /var/log/cpanel/login_log i logs d'Apache/Nginx.
  • Notificar els clients afectats sense dilació, especialment si hi ha obligacions RGPD.
  • No assumir que pedacar elimina el backdoor: pedac + cerca activa de l'implant són passos separats i tots dos obligatoris.

La ciberseguretat com a prioritat estratègica

CVE-2026-41940 a cPanel és un recordatori que la infraestructura d'hosting compartit és un dels vectors d'atac amb major multiplicador d'impacte disponibles. Comprometent un servidor d'hosting no es compromet una web: es compromet potencialment tota la cartera de clients d'aquell servidor.

Per a les empreses la web i el correu corporatiu de les quals viuen en hosting compartit amb cPanel, el missatge és directe: saber si el teu proveïdor ha aplicat el pedàç de CVE-2026-41940 no és una pregunta tècnica opcional. És una pregunta de gestió del risc que has de poder respondre avui.

Apolo Cybersecurity: protecció d'infraestructures web i servidors d'hosting

A Apolo Cybersecurity ajudem empreses, agències digitals i hosting providers a avaluar la seva exposició davant vulnerabilitats crítiques com CVE-2026-41940 i a respondre davant compromisos de servidor actius. Treballem en auditoria de servidors web i panels d'hosting, detecció i eliminació de webshells i backdoors, hardening de cPanel/WHM, monitoratge continu d'integritat de fitxers i plans de resposta a incidents per a hosting providers amb obligacions RGPD.

Si la teva empresa o la dels teus clients fa servir hosting amb cPanel i no tens confirmació que el pedàç de CVE-2026-41940 ha estat aplicat, aquest és el moment de verificar-ho. El backdoor Filemanager no espera.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, Espanya
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity