Pterodactyl v1.12.0 cambios clave del Panel y Wings 1.12.0
Pterodactyl v1.12.0 ya está disponible junto con Wings 1.12.0, y este release es de los que importan de verdad: parches de seguridad (CVE) + fixes que pegan directo en operación diaria (tareas programadas, WebSocket, uploads y detalles de API).
Si administras hosting de game servers o tienes infraestructura con nodos y Wings en producción, este update es de “hazlo pronto” por estabilidad y seguridad.
Qué trae Pterodactyl v1.12.0 en el Panel
Parches de seguridad incluidos (explicados uno por uno)
En el changelog oficial, el Panel v1.12.0 corrige los siguientes CVE:
🛑 CVE-2025-68954
“SFTP access is not revoked when server is deleted or permissions reduced”
Qué pasaba:
Cuando un servidor era eliminado o cuando se reducían permisos a un usuario, el acceso SFTP podía seguir activo.
Por qué es grave:
Esto permitía que un usuario siguiera accediendo por SFTP a datos que ya no debería tocar. En entornos multi-tenant o de hosting, esto es un riesgo serio de acceso no autorizado.
Qué soluciona v1.12.0:
Ahora el acceso SFTP se revoca correctamente cuando:
El servidor se elimina
Se reducen permisos
Se elimina el usuario
En corto: lo que se borra, se borra bien.
🛑 CVE-2025-69197
“TOTP can be used multiple times during validity window”
Qué pasaba:
Un código TOTP (2FA) podía reutilizarse varias veces dentro de su ventana de validez.
Por qué es peligroso:
Esto rompe el principio básico del 2FA: un código = un uso.
Si alguien interceptaba o reutilizaba el código, podía autenticarse más de una vez.
Qué corrige el Panel:
Ahora cada código TOTP solo puede usarse una vez, como debe ser.
Resultado: 2FA de verdad, no de adorno.
🛑 CVE-2025-69198
Estado: Embargado hasta el 19 de enero
Qué significa “embargado”:
El detalle técnico aún no es público.
Qué sí sabemos:
Fue corregido en v1.12.0
Afecta al Panel
No se publica aún por razones de seguridad
Cambios que afectan integraciones
Si tienes scripts, bots, módulos WHMCS o integraciones con el Client API:
Cambió el endpoint para desactivar 2FA: pasó de
DELETE /api/client/account/two-factoraPOST /api/client/account/two-factor/disable.Build del frontend: el mínimo de Node.js para construir ahora es 22. Si tú compilas assets, esto sí o sí te pega.
Qué trae Wings 1.12.0
Parches de seguridad incluidos (Wings)
Wings 1.12.0 corrige los siguientes CVE:
🛑 CVE-2025-69199
Estado: Embargado hasta el 19 de enero
Detalles técnicos aún no públicos
Corregido en Wings 1.12.0
Probable impacto en ejecución o aislamiento de contenedores
🛑 CVE-2026-21696
Estado: Embargado hasta el 19 de enero
CVE de alta probabilidad de severidad
Afecta directamente a Wings
Corregido antes de hacer pública la vulnerabilidad
Nota importante sobre los CVE embargados
Que estos CVE aún no sean públicos no es casualidad.
Normalmente esto pasa cuando:
La severidad es alta o crítica
Se da un periodo de gracia para que la mayoría de instalaciones actualicen
Se busca evitar exploits activos antes de que el ecosistema esté protegido
Traducción:
👉 Si sigues en una versión vieja cuando se libere el detalle, quedas expuesto
Nuevas capacidades
Rutas relativas en config: soporta rutas relativas para la config de Wings (útil en setups automatizados o rutas no estándar).
/etc/passwd generado montable: soporte para montar
/etc/passwdgenerado en contenedores (mejora compatibilidad con ciertas imágenes/eggs y permisos).
Por qué este release importa si vendes hosting o mantienes nodos
Porque aquí se mezclan dos cosas que rompen negocios cuando fallan:
Seguridad real (CVE fixes en Panel y Wings).
Estabilidad operativa (scheduled tasks disparándose mal, WebSocket insistiendo como ex tóxico, límites de upload, métricas y cálculos más consistentes).
Este tipo de cambios reduce tickets tipo “se reinicia”, “no sube archivos”, “se ejecuta el schedule 60 veces”, “mi panel se queda cargando”, etc.
Cómo actualizar a Pterodactyl v1.12.0 y Wings 1.12.0 sin drama
Antes de tocar nada:
Haz backups reales: DB +
/var/www/pterodactyl+ config del webserver + config de Wings.Si puedes, prueba primero en staging (aunque sea un clon rápido).
Actualizar el Panel a v1.12.0 (manual)
Nota: el “self-upgrade” puede no estar disponible, así que el camino confiable es el manual.
Activa mantenimiento:
cd /var/www/pterodactyl
php artisan downDescarga y extrae el release:
curl -L https://github.com/pterodactyl/panel/releases/latest/download/panel.tar.gz | tar -xzvPermisos y dependencias:
chmod -R 755 storage/* bootstrap/cache
composer install --no-dev --optimize-autoloader
¡20% de descuento en planes VPS!
Obtén un 20% de descuento en todos nuestros planes VPS.
Obtener 20% dtoLimpia cachés y migra:
php artisan view:clear
php artisan config:clear
php artisan migrate --seed --forceAjusta owner, reinicia queue y sal de mantenimiento:
chown -R www-data:www-data /var/www/pterodactyl/*
php artisan queue:restart
php artisan upActualizar Wings a 1.12.0
systemctl stop wings
curl -L -o /usr/local/bin/wings "https://github.com/pterodactyl/wings/releases/latest/download/wings_linux_$([[ "$(uname -m)" == "x86_64" ]] && echo "amd64" || echo "arm64")"
chmod u+x /usr/local/bin/wings
systemctl restart wingsChecklist post-update
Verifica que tus scheduled tasks respeten su cron y ya no corran cada minuto.
Revisa WebSocket (consola del server, conexión estable).
Si tienes integración con 2FA, actualiza el endpoint nuevo.
Si tú construyes assets, asegúrate de tener Node.js 22 para builds.
Conclusión
Pterodactyl v1.12.0 y Wings 1.12.0 son una actualización de seguridad y estabilidad que vale la pena hacer cuanto antes: corrige CVEs, arregla bugs muy molestos (cron y WebSocket) y mejora el stack para operación diaria.
Recomendación clara:
👉 Actualiza antes de que los CVE embargados se hagan públicos.
