Inyección CRLF · HTTP Response Splitting · cPanel/WHM

¿Tu servidor cPanel es vulnerable a inyección CRLF?

Verifica en segundos si tu instalación de cPanel/WHM permite inyección CRLF (Carriage Return Line Feed) en el endpoint /login/?user=. Prueba no destructiva, resultado inmediato, plan de remediación incluido.

en vivo 129 escaneos realizados 12 vulnerabilidades detectadas

Escáner de Vulnerabilidad

Prueba CRLF en /login/?user=
VULNERABILIDAD CRÍTICA

Sobre CVE-2026-41940

La vulnerabilidad de bypass de autenticación en cPanel & WHM que detecta este scanner. CVSS 9.8 crítico · pre-autenticación · atacantes remotos sin autenticar obtienen acceso root en WHM.

CVSS 9.8 CRITICAL
Divulgado 2026-04-28
Malware nuclear.x86

¿Qué es la vulnerabilidad?

Una inyección CRLF pre-autenticación en cpsrvd (el daemon de servicios de cPanel) permite a un atacante inyectar flags de autenticación falsos (user=root, hasroot=1, tfa_verified=1) en un archivo de sesión. Cuando cpsrvd re-parsea ese archivo, confía en los flags inyectados y otorga acceso root completo a WHM — bypaseando tanto el password como el 2FA.

¿Estoy afectado?

Afecta a todas las versiones de cPanel & WHM posteriores a 11.40 más WP Squared < 136.1.7. Si tu servidor expone los puertos 2082, 2083, 2086, 2087, 2095 o 2096 a internet y aún no parchaste, considéralo en riesgo activo. ~1.5 millones de instancias cPanel estaban expuestas al momento del disclosure. Usá el scanner arriba para confirmar.

¿Cómo lo arreglo?

Actualizá cPanel/WHM con /scripts/upcp --force desde SSH como root. Si no podés parchear ahora mismo: bloqueá acceso externo a los puertos 2083, 2087, 2095, 2096 vía CSF/iptables hasta que puedas. Después de parchear, auditá /var/cpanel/sessions/raw/ en busca de IoCs y rotá todas las credenciales.

Cronología

  1. 23 feb 2026 — Explotación zero-day más temprana conocida (según KnownHost)
  2. 28 abr 2026 — cPanel publica advisory de emergencia + parches
  3. 29 abr 2026 — watchTowr Labs publica análisis técnico + PoC · CVE asignado
  4. 30 abr 2026 — Cloudflare emergency WAF rule · CISA suma a KEV catalog
  5. 02 may 2026 — Explotación multi-actor · 44K IPs escaneando (Shadowserver)
  6. 04 may 2026 — Variante Mirai nuclear.x86 + ransomware "Sorry" identificados

¿Ya estás infectado?

El botnet Mirai nuclear.x86 mata activamente wget y curl para evitar la limpieza. Ejecutá desde SSH:

wget google.com

Si devuelve Killed en vez de descargar → el botnet está activo en tu servidor. Forzá su muerte:

# Force-kill the botnet and verify it's gone
pkill -9 -f "nuclear.x86"
ps auxf | grep -i nuclear

# Verify wget works again
wget google.com

Si la descarga completa normalmente → o no estás infectado, o el binario ya fue removido.

IPs atacantes conocidas (bloquear en firewall)

Bloqueá estas IPs vía CSF (csf -d) o iptables como hardening contra esta campaña. Nota: bloquear es reactivo, no reemplaza al parche.

  • 87.121.84.78
  • 45.148.120.23

Versiones parcheadas

Actualizá a una de estas (o posterior) según tu branch. Verificá tu versión actual con /usr/local/cpanel/cpanel -V.

  • 11.110.0.97
  • 11.118.0.63
  • 11.126.0.54
  • 11.132.0.29
  • 11.134.0.20
  • 11.136.0.5
  • WP Squared 136.1.7

Fuentes autoritativas

Para análisis técnico profundo, detalles del exploit y tracking de la campaña en curso:

cPanel Advisory NVD (NIST) watchTowr Labs Rapid7 Analysis CISA KEV Help Net Security
INFORMACIÓN TÉCNICA

Sobre la vulnerabilidad CRLF

Todo lo que necesitas saber sobre esta inyección y cómo proteger tu servidor

¿Qué es CRLF Injection?

Permite a un atacante inyectar caracteres de retorno de carro y nueva línea (\r\n) en cabeceras HTTP. Habilita manipulación de respuestas, secuestro de sesión, envenenamiento de caché y XSS reflejado.

Vector de ataque

El parámetro user en el endpoint /login/ no filtra correctamente los caracteres codificados %0D%0A, permitiendo que un atacante introduzca cabeceras HTTP arbitrarias en la respuesta del servidor.

Cómo protegerse

Actualiza cPanel/WHM a la última versión inmediatamente. Implementa un WAF con filtrado de caracteres de control, configura cabeceras de seguridad estrictas y monitorea los logs del servidor regularmente.

PREGUNTAS FRECUENTES

Todo sobre la vulnerabilidad CRLF en cPanel

Respuestas a las dudas más comunes sobre inyección CRLF, detección y remediación

¿Qué es la vulnerabilidad CRLF en cPanel?
La inyección CRLF (Carriage Return Line Feed) en cPanel/WHM permite a un atacante insertar caracteres %0D%0A codificados en parámetros HTTP, principalmente en el endpoint /login/?user=. Esto habilita manipulación de cabeceras de respuesta, ataques XSS reflejados, envenenamiento de caché web y secuestro de sesión administrativa. También se le conoce como HTTP Response Splitting.
¿Cómo sé si mi servidor cPanel es vulnerable a CRLF?
Usa este escáner gratuito: ingresa la URL completa de tu servidor cPanel (puerto 2083) o WHM (puerto 2087) y haz clic en Escanear. La prueba inyecta una cabecera de control inocua X-Vulnerable-Test:YES. Si el servidor la refleja en su respuesta HTTP, es vulnerable a inyección CRLF y debe parchearse de inmediato.
¿La prueba CRLF daña mi servidor cPanel?
No. La prueba es completamente no destructiva: solo inyecta una cabecera HTTP de prueba para verificar si el servidor la procesa indebidamente. No modifica configuraciones, no crea archivos, no consume recursos significativos y no requiere autenticación. Es equivalente a una petición HTTP normal con un parámetro especial.
¿Qué versiones de cPanel y WHM están afectadas?
La vulnerabilidad afecta a versiones de cPanel/WHM que no han recibido el parche de seguridad correspondiente. Verifica tu versión con el comando /usr/local/cpanel/cpanel -V desde SSH y consulta el changelog oficial de cPanel para confirmar si tu build incluye el fix de la inyección CRLF. Las builds en tier LTS sin actualizar son las más expuestas.
¿Cómo parcheo la vulnerabilidad CRLF en cPanel?
La forma más rápida es actualizar cPanel/WHM a la última versión ejecutando /scripts/upcp --force desde SSH como root. Como mitigación temporal, puedes añadir reglas ModSecurity que bloqueen las secuencias %0D%0A en URIs y argumentos. Esta herramienta genera automáticamente un plan de remediación completo con comandos copiables cuando detecta vulnerabilidad.
¿El escáner funciona con WHM además de cPanel?
Sí. WHM corre típicamente en el puerto 2087 (SSL) o 2086 (no-SSL), mientras cPanel usa 2083 (SSL) o 2082 (no-SSL). Ingresa la URL incluyendo el puerto, por ejemplo https://tu-servidor.com:2087. La prueba CRLF aplica al módulo de login subyacente (cpsrvd) que comparten cPanel y WHM.
¿Es legal usar este escáner contra otros servidores?
No. En la mayoría de jurisdicciones (Computer Fraud and Abuse Act en EE.UU., Convenio de Budapest en Europa, leyes locales de delitos informáticos) probar sistemas sin autorización explícita del propietario es ilegal y puede acarrear penas de prisión. Esta herramienta requiere confirmación de autorización antes de ejecutar el test y está diseñada únicamente para auditar tus propios servidores.
¿Mis pruebas quedan registradas en algún lado?
La herramienta no almacena las URLs probadas en bases de datos. El rate limiting usa únicamente sesiones PHP temporales. Sin embargo, el servidor target registrará la petición en sus propios logs de acceso (/usr/local/apache/logs/access_log), como cualquier petición HTTP normal. Esto es esperado en una auditoría legítima.
¿Este scanner detecta CVE-2026-41940?
Sí. CVE-2026-41940 es una inyección CRLF pre-autenticación en el manejador de sesiones cpsrvd de cPanel & WHM — exactamente la misma clase de vulnerabilidad que este scanner testea. Si el scanner reporta tu servidor como vulnerable, casi con seguridad estás expuesto a CVE-2026-41940 (CVSS 9.8). Parchea de inmediato con /scripts/upcp --force o bloquea los puertos 2083/2087/2095/2096 en el firewall.
¿Cómo sé si ya estoy comprometido por el botnet nuclear.x86?
La variante Mirai nuclear.x86 mata activamente comandos de limpieza como wget y curl para evitar su remoción. Ejecutá wget google.com desde SSH: si devuelve Killed en vez de descargar, el botnet está activo en tu servidor. Otros IoCs: revisá /var/cpanel/sessions/raw/ en busca de archivos con user=root, hasroot=1, tfa_verified=1, o successful_internal_auth_with_timestamp previos al parche.
Mi servidor está comprometido — ¿qué hago?
Asumí compromiso total de root. El atacante tiene el contenido de /etc/shadow, puede haber creado cuentas admin, modificado ~/.ssh/authorized_keys, dejado cron jobs, o instalado cryptominers. Paso 1: aislá el servidor (bloquear IPs públicas en el firewall). Paso 2: matá los procesos nuclear.x86 (pkill -9 -f nuclear.x86). Paso 3: rotá TODAS las credenciales (root, usuarios cPanel, MySQL, FTP, SSH keys, API tokens). Paso 4: auditá /etc/passwd, /etc/sudoers.d/, ~/.ssh/authorized_keys, cron jobs, usuarios WHM. Camino más seguro: reconstruir desde un backup limpio previo a la ventana de compromiso (potencialmente desde el 23 de febrero de 2026).
SOPORTE PROFESIONAL

¿Necesitas ayuda para parchear tu servidor?

Auditoría, parche urgente y hardening profesional por un sysadmin con 12+ años de experiencia en cPanel/WHM, seguridad de servidores e infraestructura VoIP. Cotización gratuita en menos de 24 horas, sin compromisos.

12+ años de experiencia
500+ servidores asegurados
<24h tiempo de respuesta
NDA confidencialidad total

Contacta directamente

Sin intermediarios, sin formularios. Respuesta personal a tu consulta.

Enviar Email WhatsApp

Aviso Legal y Uso Ético

Esta herramienta está diseñada exclusivamente para que administradores de sistemas verifiquen sus propios servidores o aquellos en los que tienen autorización explícita. El uso no autorizado contra sistemas de terceros puede constituir un delito según leyes como la Computer Fraud and Abuse Act (CFAA) en EE.UU., el Convenio de Budapest sobre ciberdelincuencia o equivalentes locales. La prueba realizada es no destructiva: solo verifica el reflejo de una cabecera de prueba inocua y no compromete el sistema. Eres totalmente responsable del uso que des a esta herramienta.