Escanear gratis
HIGHCVE-2026-32993CVSS 8.3

CVE-2026-32993: HTTP Header Injection in cPanel

Plataforma

cpanel

Componente

cpanel

Corregido en

11.136.1.12

Ver en NVD
Guardar

CVE-2026-32993 es una vulnerabilidad de inyección de encabezados HTTP en cPanel que afecta a las versiones desde 11.132.0.0 hasta 11.136.1.12. Esta falla permite a un atacante inyectar encabezados HTTP arbitrarios en la respuesta del servidor a través del parámetro status del endpoint /unprotected/nova_error. La vulnerabilidad se ha solucionado en la versión 11.136.1.12.

Impacto y Escenarios de Ataque

La inyección de encabezados HTTP permite a un atacante manipular la respuesta del servidor, lo que puede resultar en la redirección de usuarios a sitios web maliciosos, la suplantación de identidad o la ejecución de código JavaScript en el navegador del usuario. Un atacante podría, por ejemplo, inyectar un encabezado Location para redirigir a los usuarios a un sitio de phishing o un encabezado X-Content-Type-Options: nosniff para forzar al navegador a interpretar incorrectamente el contenido.

Contexto de Explotación

La vulnerabilidad CVE-2026-32993 se publicó el 13 de mayo de 2026. No se ha reportado su explotación activa en campañas conocidas, pero la posibilidad de inyección de encabezados HTTP la convierte en un riesgo significativo. La severidad del CVSS es 8.3 (ALTA).

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

CISA SSVC

Explotaciónnone
Automatizableyes
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L8.3HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityLowRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityLowRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Bajo — acceso parcial o indirecto a algunos datos.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Bajo — denegación de servicio parcial o intermitente.

Software Afectado

Componentecpanel
ProveedorWebPros
Versión mínima11.132.0.0
Versión máxima11.136.1.12
Corregido en11.136.1.12

Clasificación de Debilidad (CWE)

CWE-93

Cronología

  1. Reservado
  2. Publicada
  3. Modificada

Mitigación y Workarounds

La mitigación principal para CVE-2026-32993 es actualizar cPanel a la versión 11.136.1.12 o superior. Como medida temporal, se recomienda implementar un firewall o proxy que filtre el tráfico HTTP y bloquee cualquier solicitud que contenga encabezados HTTP sospechosos. No hay firmas de detección Sigma o YARA disponibles actualmente, pero se recomienda monitorear los registros del servidor en busca de patrones de inyección de encabezados HTTP.

Cómo corregirlotraduciendo…

Actualice cPanel a la versión 11.132.0.32 o posterior, 11.134.0.26 o posterior, 11.136.0.10 o posterior, o 11.136.1.12 o posterior para mitigar la vulnerabilidad.  La actualización corrige la falta de sanitización adecuada del parámetro de consulta 'status' en el endpoint '/unprotected/nova_error', previniendo la inyección de encabezados HTTP arbitrarios.

Preguntas frecuentes

What is CVE-2026-32993 — HTTP Header Injection in cPanel?

CVE-2026-32993 es una vulnerabilidad que permite inyectar encabezados HTTP arbitrarios en cPanel a través del endpoint /unprotected/nova_error.

Am I affected by CVE-2026-32993 in cPanel?

Sí, si su servidor cPanel está ejecutando una versión entre 11.132.0.0 y 11.136.1.12, es vulnerable a esta vulnerabilidad.

How do I fix CVE-2026-32993 in cPanel?

La solución es actualizar cPanel a la versión 11.136.1.12 o superior. Considere implementar medidas temporales como un firewall.

Is CVE-2026-32993 being actively exploited?

Aunque no se ha reportado explotación activa, la posibilidad de inyección de encabezados HTTP la convierte en un riesgo potencial.

Where can I find the official cPanel advisory for CVE-2026-32993?

Consulte el sitio web de seguridad de cPanel para obtener la información oficial y las actualizaciones: [https://security.cpanel.net/](https://security.cpanel.net/)

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...