Seguridad de cPanel
Actualizado: 28 de abril de 2026. Parche disponible. Ejecuta /scripts/upcp en todos los servidores cPanel de inmediato. Ambas mitigaciones pueden revertirse una vez confirmada la actualización.
Última hora · 28 de abril de 2026
28 de abril de 2026 8 min de lectura RemarkableCloud Security Team

Vulnerabilidad crítica de omisión de autenticación en cPanel: qué ocurrió, qué significa y cómo respondió RemarkableCloud

A las 19:39 UTC del 28 de abril de 2026, cPanel publicó un aviso de seguridad crítico que revela una vulnerabilidad de omisión de autenticación que afecta a todas las versiones de cPanel/WHM con soporte activo. Ya hay un parche disponible. cPanel ha publicado actualizaciones para todas las versiones compatibles. Ejecuta /scripts/upcp en cada servidor cPanel de inmediato. El aviso recomienda dos mitigaciones, y la mayoría de la cobertura pública difundida en las primeras horas tras la divulgación solo mencionó una.

Este artículo explica qué es la vulnerabilidad, por qué bloquear únicamente los puertos 2083 y 2087 no es suficiente, el plan de mitigación completo y cómo respondió RemarkableCloud para cada cliente en nuestra plataforma.

Qué reveló cPanel

Aviso oficial de cPanel: 28 de abril de 2026

Recientemente se identificó una vulnerabilidad crítica en el software cPanel relacionada con un exploit de inicio de sesión por autenticación. Esto afecta a todas las versiones de cPanel con soporte activo. Actualmente estamos desarrollando activamente un parche para todas las versiones compatibles de cPanel/WHM a fin de corregir esto y garantizar la integridad del producto. Mientras tanto, usar un firewall para bloquear el acceso a los puertos TCP 2083/2087 impedirá el acceso no autorizado, aunque también restringirá cualquier otro acceso al panel de control. Además, recomendamos deshabilitar los Subdominios de Servicio (también conocidos como Proxy Subdomains).

Los puntos clave del aviso:

  • Todas las versiones con soporte activo están afectadas: 110, 118, 124 y 130 (tanto la rama LTS como la Current)
  • Sin número de CVE, sin SEC ID y sin atribución a un investigador en el momento de la divulgación, lo cual es inusual en cPanel, cuyos avisos recientes han identificado al descubridor en pocas horas
  • Aún no hay parche disponible. El proveedor lo está desarrollando.
  • Se requieren dos mitigaciones, no una

Por qué bloquear solo los puertos 2083 y 2087 no es suficiente

Este es el punto que la mayoría de los proveedores comunicó mal en sus avisos iniciales. El texto del advisory menciona primero el bloqueo de puertos, pero también recomienda explícitamente deshabilitar los Subdominios de Servicio. Esas dos mitigaciones no son alternativas opcionales: abordan dos rutas de ataque diferentes hacia el mismo código vulnerable.

La función "Subdominios de Servicio" de cPanel (también llamada Proxy Subdomains) crea automáticamente registros DNS y reglas de proxy inverso de Apache que hacen accesible el panel a través de subdominios web estándar:

SubdominioRedirige a
cpanel.tudominio.comlocalhost cpsrvd en el puerto 2083
whm.tudominio.comlocalhost cpsrvd en el puerto 2087
webmail.tudominio.comlocalhost cpsrvd en el puerto 2096
webdisk.tudominio.comlocalhost cpsrvd en el puerto 2078

El proxy inverso corre dentro de Apache en el puerto 443, el mismo puerto que usan tus sitios web, el puerto que no puedes bloquear sin dejar inactivos todos los sitios de clientes del servidor. Este es el flujo de la solicitud:

  1. Una solicitud llega a https://cpanel.tudominio.com/login/
  2. Apache la intercepta en el vhost proxy del puerto 443 (no bloqueado por tu firewall)
  3. Apache reenvía la solicitud internamente a https://127.0.0.1:2083/login/
  4. cpsrvd procesa la solicitud a través del mismo código de autenticación vulnerable

El firewall bloquea las conexiones externas al puerto 2083. El proxy de Apache se conecta internamente desde el propio servidor, evitando el firewall por completo. Bloquear el 2083 detiene el acceso directo. No detiene la ruta del proxy. Ambas mitigaciones son necesarias para cerrar ambas vías.

Si el aviso de estado de tu proveedor de hosting solo mencionó el bloqueo de puertos de cPanel: pregúntales si también ejecutaron el comando para deshabilitar los subdominios proxy. La ruta del proxy permanece abierta hasta que ese segundo paso se complete. Un servidor con bloqueo de puertos pero con subdominios proxy activos sigue siendo accesible a través del puerto 443.

Cómo respondió RemarkableCloud

Tiempo desde la publicación del aviso hasta la protección de todos los clientes
Minutos

Nuestro equipo de seguridad monitorea los avisos de los proveedores en tiempo real. En el momento en que cPanel publicó el advisory, comenzamos a aplicar ambas mitigaciones en toda nuestra infraestructura. Todos los clientes de RemarkableCloud estaban protegidos antes de que la mayoría de los proveedores hubiera publicado siquiera una actualización en su página de estado.

Esto es lo que significa "totalmente administrado" en la práctica. No recibiste un correo de advertencia pidiéndote que tomaras alguna acción. No necesitaste conectarte por SSH a tu servidor para ejecutar un comando. Nuestro equipo aplicó ambas capas de mitigación (restricción de puertos y deshabilitación de subdominios proxy) en toda la flota antes de que esta vulnerabilidad tuviera tiempo real de ser explotada.

Ejecutamos ambas mitigaciones en paralelo en todos los servidores usando comandos verificados, confirmamos que el valor de tweaksetting devolvió 0 en cada host, y realizamos comprobaciones puntuales en DNS para confirmar que los registros de subdominios proxy habían sido eliminados. Toda la flota quedó asegurada en minutos, no en horas.

Para que conste: los clientes de RemarkableCloud que usan RemarkablePanel no están afectados por esta vulnerabilidad en absoluto. RemarkablePanel está construido sobre la plataforma Enhance, una base de código completamente independiente de cPanel/WHM. Este aviso aplica específicamente a los servidores que ejecutan software cPanel.

El plan de mitigación completo

Para proveedores de hosting y administradores de servidores que necesiten aplicarlo por su cuenta, aquí está la mitigación completa de dos capas. Ambas capas son obligatorias.

1

Bloquea todos los puertos relacionados con cPanel en el firewall

El aviso menciona los puertos 2083 y 2087, pero el soporte de cPanel y los principales proveedores han confirmado que el enfoque más conservador es bloquear los ocho puertos del panel. cpdavd y webmail se ejecutan dentro del mismo proceso cpsrvd que el código de inicio de sesión vulnerable.

PuertoServicio
2082cPanel HTTP
2083cPanel HTTPS
2086WHM HTTP
2087WHM HTTPS
2095Webmail HTTP
2096Webmail HTTPS
2077WebDAV HTTP (cpdavd)
2078WebDAV HTTPS (cpdavd)

Para CSF en un host individual, elimina los ocho puertos de tu lista TCP_IN. Para un firewall perimetral, bloquea el rango completo de entrada desde internet. Durante una ventana de omisión de autenticación sin parchear, incluso una IP de administrador que alcance el panel representa un riesgo innecesario. Usa SSH para operaciones de emergencia hasta que se confirme la instalación del parche.

2

Deshabilita los Subdominios de Servicio en cada host cPanel

Esta es la mitigación principal. Sin este paso, el bloqueo de puertos es incompleto. Ejecuta lo siguiente como root en cada servidor cPanel:

whmapi1 set_tweaksetting key=proxysubdomains value=0 && \ /scripts/proxydomains remove && \ /scripts/rebuildhttpdconf && \ /scripts/restartsrv_httpd

Qué hace cada paso:

  • whmapi1 set_tweaksetting: deshabilita la creación automática de nuevos registros de subdominios proxy
  • /scripts/proxydomains remove: elimina los registros DNS existentes de cpanel.*, whm.*, webmail.*, webdisk.* en todas las zonas
  • /scripts/rebuildhttpdconf: regenera la configuración de Apache sin las estrofas del vhost proxy
  • /scripts/restartsrv_httpd: recarga de Apache sin interrupción (o LiteSpeed en hosts LSWS)

La cadena de comandos es idempotente: ejecutarla dos veces no causa ningún daño. En un servidor con un gran número de dominios, la reescritura de zonas tarda entre 30 y 60 segundos. La operación completa finaliza en menos de dos minutos.

Verifica que la mitigación esté aplicada:

whmapi1 get_tweaksetting key=proxysubdomains | grep value # Salida esperada: value: 0dig @localhost cpanel.algundominiodecliente.com # Salida esperada: NXDOMAIN
💡

No revertir ninguna mitigación hasta confirmar que la versión parcheada de cPanel está instalada en todos los servidores de tu flota. Un servidor con subdominios proxy reactivados y una versión de cPanel sin actualizar expone todas las cuentas de clientes de ese servidor. Espera el TSR oficial de cPanel antes de revertir cualquiera de las capas.

Lo que aún no sabemos

El aviso del proveedor es intencionalmente escaso en detalles técnicos, lo cual es una práctica estándar durante una ventana activa sin parche. Algunas preguntas abiertas al momento de redactar este artículo:

  • El CVE y el SEC ID. cPanel asignará identificadores cuando publique el Targeted Security Release (TSR). Los advisories críticos recientes de cPanel (CVE-2025-66429, SEC-575) incluyeron autoría en pocas horas de la divulgación; este no, lo cual es notable.
  • Si la autenticación de dos factores también es omitida. El advisory no lo aclara en ningún sentido. El problema SEC-575 de 2024 evadió la 2FA mediante fuerza bruta. Si esta omisión de autenticación también saltea la capa 2FA es desconocido hasta que se publique el TSR.
  • Explotación activa en la práctica. En las primeras horas tras la divulgación, no hay informes públicos confirmados de explotación activa. Esto cambiará una vez que se publique un proof-of-concept, lo que suele ocurrir entre 24 y 72 horas después de un advisory crítico sobre software ampliamente desplegado.

Qué hacer ahora mismo

El parche está disponible. Actualiza cada servidor cPanel de inmediato:

/scripts/upcp # Confirma que la versión parcheada está instalada antes de revertir las mitigaciones

Una vez confirmada la versión parcheada en todos los servidores, las mitigaciones pueden revertirse de forma segura:

# Revertir Capa 2: reactivar subdominios proxy whmapi1 set_tweaksetting key=proxysubdomains value=1 && \ /scripts/proxydomains add && \ /scripts/rebuildhttpdconf && \ /scripts/restartsrv_httpd# Revertir Capa 1: eliminar los bloqueos de puertos del firewall

No revertir ninguna mitigación hasta que la versión parcheada esté confirmada en todos los servidores de tu flota. Un servidor sin parchear con subdominios proxy reactivados es suficiente para exponer todas las cuentas de clientes en él.

El punto más importante

Este incidente ilustra algo fundamental sobre lo que realmente significa el hosting administrado. Cada entorno de hosting basado en cPanel en el mundo quedó expuesto por este advisory hoy. La diferencia entre proveedores no está en si la vulnerabilidad existe: está en la velocidad de respuesta del operador y en si sus clientes tuvieron que hacer algo al respecto.

Nuestros clientes no hicieron nada. No recibieron un correo de acción requerida. No iniciaron sesión para ejecutar un comando. Estaban protegidos antes de que la mayoría de la industria terminara de redactar sus actualizaciones de estado. Eso son 25 años de experiencia operativa produciendo tiempos de respuesta medidos en minutos, no en horas.

Si estás en un VPS administrado con un proveedor que te envió instrucciones para aplicar esta mitigación tú mismo, eso merece reflexión. Un servidor administrado debería estar administrado, especialmente cuando una vulnerabilidad crítica aparece a las 19:39 UTC un lunes por la noche.

El hosting administrado significa que nosotros gestionamos las emergencias. No tú.

Vulnerabilidad crítica divulgada. Todos los clientes de RemarkableCloud protegidos en minutos. Cero acciones requeridas de los clientes. Eso es lo que significa totalmente administrado.

Ver planes Cloud Cube
SLA 500% · Respuesta de seguridad proactiva · Administrado desde 2001

Tabla de contenidos

vibe-coding
Articles
Remarkable-Guille
Cómo hacer vibe coding en proyectos complejos para principiantes

El vibe coding colapsa en el momento en que pides la segunda funcionalidad. El código se contradice, nada está documentado, la IA olvidó lo que construyó en la sesión anterior. Pero no tiene por qué funcionar así. Existe un método para desarrollar software genuinamente complejo con la IA como motor, donde el resultado es de nivel productivo y mantenible, sin necesidad de ser programador. Requiere tres roles separados (un arquitecto que planifica, un coder que ejecuta y un repositorio que registra todo), seis documentos que sobreviven a cualquier sesión de chat individual, e instrucciones de salida de emergencia que convierten las suposiciones silenciosas de la IA en decisiones que tú tomas. Este es el método completo.

Read More »
plugin de traducción WordPress multilingüe SEO
Articles
Remarkable-Guille
Por qué tu plugin de traducción podría estar destruyendo tu SEO en silencio (lo descubrimos en nuestro propio sitio)

Durante meses, nuestro tráfico multilingüe había estado cayendo en silencio. Lo atribuimos a la estacionalidad. A los cambios en el algoritmo de Google. Al mercado. Ninguna de esas era la respuesta. Cuando finalmente auditamos nuestra propia configuración multilingüe, encontramos cinco problemas específicos que nuestro plugin de traducción había estado causando silenciosamente en cada página traducida del sitio: nombres de marca apareciendo traducidos en los datos estructurados, declaraciones hreflang duplicadas y rotas, páginas de inicio traducidas marcadas como Article en lugar de Website, inconsistencia en barras finales que dividía la autoridad de las URLs, y enlaces de migas de pan que enviaban a los visitantes al idioma incorrecto. Llevamos 25 años gestionando sitios web y aun así nos pasamos los cinco por alto. Porque el daño está en las partes de la página que los visitantes nunca ven. Aquí te explicamos exactamente qué revisar en tu propio sitio en 15 minutos, sin más herramientas que un navegador y ver-código-fuente.

Read More »
Seguridad de cPanel
Articles
Remarkable-Guille
Vulnerabilidad crítica de omisión de autenticación en cPanel: qué ocurrió, qué significa y cómo respondió RemarkableCloud

A las 19:39 UTC del 28 de abril de 2026, cPanel publicó un aviso crítico que revela una omisión de autenticación que afecta a todas las versiones con soporte activo. No hay parche disponible. El proveedor recomienda dos mitigaciones: bloquear los puertos de cPanel Y deshabilitar los Subdominios de Servicio. La mayoría de la cobertura pública solo mencionó la primera. La ruta del subdominio proxy corre a través de Apache en el puerto 443 y accede al mismo código vulnerable independientemente de las reglas del firewall. Este artículo explica por qué ambas mitigaciones son necesarias, el plan de mitigación completo y cómo RemarkableCloud protegió a todos sus clientes en minutos sin que ninguno tuviera que hacer nada.

Read More »
entregabilidad de correo SPF DKIM DMARC
Articles
Remarkable-Guille
Entregabilidad del correo explicada: SPF, DKIM, DMARC, y por qué la reputación de tu servidor importa más que tu contenido

La mayoría de las decisiones sobre entregabilidad del correo ocurren antes de que se lea una sola palabra de tu mensaje: suceden en la capa de autenticación del servidor, donde los servidores de correo receptores deciden si tu servidor de envío es confiable. SPF, DKIM y DMARC son los tres registros DNS que gobiernan esa decisión. Pero incluso con los tres superando la verificación, una IP de salida compartida en lista negra por un vecino puede arruinar tu entregabilidad. Este artículo explica qué hace cada registro, por qué la reputación de IP importa tanto como la autenticación, y qué incluye RemarkableCloud en cada Cloud Cube: MailChannels como SMTP de salida, antispam colaborativo de entrada, y SPF, DKIM y DMARC configurados por defecto para cada dominio.

Read More »
Facebook
Twitter
LinkedIn