1 Mayıs 2026
En güncel:
ManşetSiber Güvenlik

cPanel ve WHM’yi Etkileyen Kritik Güvenlik Açığı

Osman Selçok

Uyarı – AL26-008 – cPanel ve WebHost Manager’ı (WHM) etkileyen güvenlik açığı – CVE-2026-41940

cPanel ve WHM sistemlerinde kritik bir güvenlik açığı (CVE-2026-41940) tespit edildi ve şu anda aktif olarak siber saldırganlar tarafından suistimal ediliyor

cPanel ve WHM’yi Etkileyen Üst Düzey Kritik Güvenlik Açığı – Peki cPanel ve WebHost Manager (WHM)’da Neler Oldu?

🚨 Kritik Güvenlik Açığı (CVE-2026-41940)

  • Tehlikenin Boyutu: Güvenlik açığının CVSS skoru 10 üzerinden 9.8 olarak belirlendi. Bu durum, riskin en üst seviyede olduğunu gösteriyor.
  • Sorunun Kaynağı: Oturum yükleme ve kaydetme (session loading and saving) işlemlerindeki bir kimlik doğrulama atlatma (authentication bypass) hatasından kaynaklanıyor.
  • Etkisi: Saldırganlar, hiçbir şifre bilgisine ihtiyaç duymadan doğrudan yönetim paneline sızabiliyor ve sunucunun tüm kontrolünü (root yetkisi dahil) ele geçirebiliyor.

⚠️ Aktif Saldırılar ve Sıfırıncı Gün (Zero-Day) Durumu

  • Aylardır Kullanılıyor: Siber güvenlik araştırmacıları, bu açığın aslında 23 Şubat 2026’dan beri bilgisayar korsanları tarafından sessizce kullanıldığını tespit etti.
  • Geniş Çaplı Risk: Shodan verilerine göre internete açık durumda yaklaşık 1.5 milyon cPanel örneği bulunuyor ve bu durum milyonlarca web sitesini tehdit ediyor.

cPanel’da Kritik Alarm: Son 48 Saatte Ortaya Çıkan CVE-2026-41940 Krizi ve Teknik Analizi

(Önemli Not: aşağıdaki bilgiler neler yapılabileceğine dair içeriklerden oluşmaktadır. Teknik bilgilere hakim değilseniz lütsen sunucu yönetimi konularında Uzman Kişilerden destek alınız. Yaşabilecek olumsuz sistem sorunları için yedek almayı ve bu bilgileri teyid etmeyi unutmayın..!)

Web hosting dünyasının en yaygın yönetim platformlarından biri olan cPanel, son iki gün içinde sektörün en ciddi güvenlik olaylarından biriyle gündeme geldi. cPanel & WHM altyapısını etkileyen kritik güvenlik açığı, CVE-2026-41940 koduyla takip ediliyor ve saldırganların kimlik doğrulamasını tamamen atlayarak sunucular üzerinde tam yetki elde etmesine olanak tanıyor.

Bu açık, yalnızca teorik bir risk değil; güvenlik araştırmacıları ve büyük hosting sağlayıcıları, açığın aylardır aktif olarak istismar edildiğini doğruluyor. Bu durum, olayı sıradan bir güvenlik güncellemesinden çıkarıp küresel ölçekte bir altyapı güvenliği krizine dönüştürüyor.

Güvenlik Açığının Özeti

CVE-2026-41940, cPanel, WHM ve WP Squared ürünlerinde bulunan kritik bir authentication bypass zafiyetidir. CVSS skoru 9.8/10 olarak belirlenmiştir; bu, uzaktan sömürülebilen ve sistemin tamamen ele geçirilmesine yol açabilen en yüksek risk sınıflarından biridir.

Açık, cPanel’in oturum yönetim mekanizmasındaki bir tasarım kusurundan kaynaklanıyor. Özellikle, istemciden gelen Authorization başlığındaki kullanıcı kontrollü verilerin, kimlik doğrulama tamamlanmadan önce sunucu tarafındaki oturum dosyalarına yazılması temel sorunu oluşturuyor. Bu veri yeterince filtrelenmediği için saldırganlar özel karakter enjeksiyonu ile oturum içeriğini manipüle edebiliyor.

Teknik Çalışma Mekanizması

Açığın temelinde bir CRLF (Carriage Return Line Feed) Injection zafiyeti bulunuyor. Saldırgan, HTTP Authorization başlığına özel karakterler ekleyerek yeni satırlar oluşturabiliyor. Bu sayede oturum dosyasına sahte parametreler enjekte ediliyor.

Örneğin, saldırgan aşağıdaki gibi ek alanlar yazabiliyor:

  • cp_security_token
  • yetkili kullanıcı bilgileri
  • oturum doğrulama bayrakları

Bu sahte veriler daha sonra cPanel tarafından meşru bir oturum gibi işleniyor. Sonuç olarak parola doğrulaması gerçekleşmeden yönetim paneline erişim sağlanabiliyor.

Authorization HeaderCRLF InjectionSession File ManipulationAuthentication Bypass\text{Authorization Header} \rightarrow \text{CRLF Injection} \rightarrow \text{Session File Manipulation} \rightarrow \text{Authentication Bypass}Authorization Header→CRLF Injection→Session File Manipulation→Authentication Bypass

Bu zincir başarıyla tamamlandığında saldırgan:

  • WHM root erişimi elde edebilir,
  • barındırılan tüm web sitelerine erişebilir,
  • veritabanlarını okuyabilir veya değiştirebilir,
  • e-posta sistemlerini ele geçirebilir,
  • kalıcılık (persistence) mekanizmaları yerleştirebilir.

Etkilenen Sürümler

cPanel tarafından yapılan açıklamaya göre, 11.40 sonrası tüm sürümler etkileniyor. Yani fiilen tüm desteklenen sürümler risk altında.

Yamanmış sürümler şunlardır:

  • 11.86.0.41
  • 11.110.0.97
  • 11.118.0.63
  • 11.126.0.54
  • 11.130.0.19
  • 11.132.0.29
  • 11.134.0.20
  • 11.136.0.5

WP Squared için güvenli sürüm: 136.1.7.

Aktif Sömürü: Zero-Day Olarak Kullanıldı

En endişe verici detay, açığın kamuya açıklanmadan önce saldırganlar tarafından kullanılmış olması. Hosting sağlayıcılarından gelen telemetri, ilk istismar girişimlerinin Şubat 2026 sonlarına kadar uzandığını gösteriyor.

Bu da açığın en az iki ay boyunca bir zero-day olarak dolaşımda olduğunu ortaya koyuyor. Bazı sağlayıcılar başarılı yetkisiz erişim denemeleri tespit ettiklerini açıkladı.

Hosting Şirketlerinin Acil Önlemleri

Birçok büyük hosting sağlayıcısı, müşterilerini korumak için olağanüstü tedbirler aldı. Bunlar arasında:

  • cPanel portlarının geçici olarak kapatılması,
  • dış erişimin engellenmesi,
  • acil güvenlik yamalarının uygulanması,
  • sistemlerin IOC (Indicator of Compromise) taramasından geçirilmesi yer alıyor.

Örneğin Namecheap, 2083 ve 2087 numaralı portlara erişimi geçici olarak engelledi. Benzer şekilde diğer büyük hosting firmaları da hızlı izolasyon politikaları uyguladı.

Sistem Yöneticileri İçin Acil Eylem Planı

1. Derhal Güncelleyin

/scripts/upcp --force

2. Sürümü Doğrulayın

/usr/local/cpanel/cpanel -V

3. cpsrvd Servisini Yeniden Başlatın

/scripts/restartsrv_cpsrvd --hard

Bu adım kritik; yalnızca güncellemek yeterli değil. Yeni kodun aktif hale gelmesi için servis yeniden başlatılmalıdır.

Güncelleme Yapılamıyorsa Geçici Koruma

Aşağıdaki portlar dış erişime kapatılmalıdır:

  • 2083 (cPanel SSL)
  • 2087 (WHM SSL)
  • 2095 (Webmail)
  • 2096 (Webmail SSL)

Alternatif olarak ilgili servisler durdurulabilir:

whmapi1 configureservice service=cpsrvd enabled=0 monitored=0
whmapi1 configureservice service=cpdavd enabled=0 monitored=0
/scripts/restartsrv_cpsrvd --stop
/scripts/restartsrv_cpdavd --stop

Tehditin Kapsamı

Güvenlik araştırmalarına göre internete açık yaklaşık 1.5 milyon cPanel kurulumu bulunuyor. cPanel ekosisteminin yaklaşık 70 milyon alan adını yönettiği tahmin ediliyor. Bu nedenle açık, internet altyapısının önemli bir bölümünü doğrudan etkiliyor.

Olası Etkiler

Başarılı bir sömürü sonrasında saldırgan:

  • root seviyesinde kontrol kazanabilir,
  • müşteri verilerini çalabilir,
  • web sitelerine zararlı kod yerleştirebilir,
  • e-posta hesaplarını ele geçirebilir,
  • fidye yazılımı dağıtabilir,
  • yatay hareketle diğer sistemlere sıçrayabilir.

Paylaşımlı hosting ortamlarında tek bir sunucunun ele geçirilmesi, yüzlerce hatta binlerce web sitesinin risk altına girmesi anlamına gelir.

Olay Müdahalesi İçin Öneriler

Eğer sisteminiz etkilenmiş olabileceğinden şüpheleniyorsanız:

  • tüm aktif oturumları sonlandırın,
  • tüm yönetici parolalarını sıfırlayın,
  • API anahtarlarını yenileyin,
  • SSH anahtarlarını gözden geçirin,
  • /var/cpanel/sessions dizinini inceleyin,
  • erişim loglarında anormal Authorization başlıklarını araştırın,
  • persistence artefaktları için kapsamlı adli analiz yapın.

cPanel ayrıca IOC tespiti için özel bir tarama betiği yayımladı.

Bu olay ekosistemini etkileyen en kritik güvenlik açıklarından biri olarak kayıtlara geçti.

CVE-2026-41940, son yıllarda cPanel ekosistemini etkileyen en kritik güvenlik açıklarından biri olarak kayıtlara geçti. Açığın hem kimlik doğrulamayı tamamen devre dışı bırakabilmesi hem de uzun süre zero-day olarak kullanılmış olması, risk seviyesini olağanüstü artırıyor.

cPanel kullanan tüm kuruluşlar için mesaj net: hemen yamalayın, servisleri yeniden başlatın, IOC taraması yapın ve erişim kayıtlarını inceleyin. Bu olay, özellikle hosting ve yönetilen servis sağlayıcıları için “ertelenebilecek” bir güncelleme değil; acil müdahale gerektiren bir güvenlik olayıdır.

Bunları da sevebilirsiniz

Yazılım Geliştirici Nasıl Olunur?

Sümeyye Kurnaz
Antalya Muratpaşa Belediye Başkanı Av. Ümit Uysal ile Bilişim Profesyonelleri Röportajımız

Antalya Muratpaşa Belediye Başkanı Av. Ümit Uysal ile Bilişim Profesyonelleri Röportajımız

Doğan Çetin

Siber Güvenlik Kanunu Yürürlüğe Girdi

Sevgi Yılmaz Selçok