CISA incorporó a su catálogo de vulnerabilidades conocidas explotadas un fallo en el plugin de LiteSpeed para cPanel, el panel de control que gestiona millones de servidores de alojamiento web. La vulnerabilidad, CVE-2026-54420, con una puntuación CVSS de 8,5, es un problema de escalada de privilegios.

La escalada de privilegios permite a un atacante que ya tiene un acceso limitado —por ejemplo, una cuenta de hosting compartido— elevar sus permisos hasta controlar el servidor entero, y con él, todos los sitios que aloja. En entornos de hosting compartido, donde cientos de clientes conviven en una misma máquina, un fallo así puede convertir el compromiso de una sola cuenta en el de todo el servidor.

La pila de hosting —cPanel, LiteSpeed y sus complementos— es infraestructura invisible: sostiene una parte gigantesca de la web sin que casi nadie repare en ella. Por eso sus vulnerabilidades tienen un efecto multiplicador: un fallo afecta no a un sitio, sino a miles a la vez.

El hosting compartido es una economía de la confianza forzada: cientos de desconocidos comparten la misma máquina y dependen de que la pared entre ellos no tenga grietas. La señal real es el efecto multiplicador —un fallo de escalada no compromete un sitio, sino el servidor y todos sus inquilinos—, lo que convierte al proveedor en un único punto de fallo para miles de clientes. Y es infraestructura que casi nadie ve: cPanel y LiteSpeed sostienen media web desde la sombra. Mientras el precio siga primando sobre el aislamiento, el hosting compartido seguirá siendo un edificio donde forzar una puerta abre todo el bloque.