cPanel Güvenlik Açığı
30 Nisan 2026Genel

cPanel’de Kritik Kimlik Doğrulama Açığı Tespit Edildi

Sunucunuzu derhal güncelleyin. cPanel ve WHM'nin tüm desteklenen sürümlerini etkileyen, kimlik doğrulamayı atlatmaya olanak tanıyan kritik bir güvenlik açığı keşfedildi. CVSS puanı 10 üzerinden 9.8 ve sıfırıncı gün (zero-day) olarak aktif şekilde istismar ediliyor.
İçindekiler
Makale başlıklarına göz atarak istediğiniz içeriğe kolaylıkla ulaşın.

cPanel, çeşitli kimlik doğrulama yollarını etkileyen bir güvenlik sorununu gidermek için güvenlik güncellemeleri yayınladı. Bu açık, saldırganların kontrol paneli yazılımına yetkisiz erişim elde etmesine olanak tanıyordu.

Güvenlik Güncellemesi

Sorun, cPanel ve WebHost Manager’ın (WHM) desteklenen tüm sürümlerini etkiliyor. WebPros tarafından Salı günü yayınlanan uyarıya göre, aşağıdaki sürümlerde düzeltme yapıldı:

  • 11.86.0.41
  • 11.110.0.97
  • 11.118.0.63
  • 11.126.0.54
  • 11.130.0.19
  • 11.132.0.29
  • 11.136.0.5
  • 11.134.0.20

cPanel şu notu düştü: “Sunucunuz bu güncellemeye uygun desteklenen bir cPanel sürümünü çalıştırmıyorsa, sunucunuzu en kısa sürede güncellemeye yönelik çalışmalara başlamanız şiddetle tavsiye edilir; zira bu sürümler de etkilenmiş olabilir.”

Namecheap’in Acil Müdahalesi

Güvenlik Duvarı Önlemi

cPanel açığın detaylarını paylaşmasa da, web barındırma ve alan adı tescil şirketi Namecheap, açığın “kontrol paneline yetkisiz erişime olanak tanıyabilecek bir kimlik doğrulama giriş istismarıyla ilgili” olduğunu açıkladı.

Şirket, önlem olarak TCP 2083 ve 2087 portlarına erişimi engelleyen bir güvenlik duvarı kuralı uyguladı. Bu hamlenin, tam yama uygulanana kadar müşterilerin cPanel ve WHM arayüzlerine erişimini geçici olarak kısıtlayacağını belirtti.

Namecheap’in destek ekibine göre 29 Nisan 2026 saat 02:42 UTC itibarıyla düzeltme Reseller ve Stellar Business sunucularına ve geri kalan sunuculara uygulandı.

CVE-2026-41940: Zero Day Açığı

Kimlik doğrulama atlama açığına CVE-2026-41940 tanımlayıcısı atandı ve 10.0 üzerinden 9.8 CVSS puanı taşıyor. cPanel, yamaların WP Squared 136.1.7 sürümüne de gönderildiğini duyurdu.

NIST Ulusal Güvenlik Açığı Veritabanı’ndaki (NVD) açıklamaya göre: “11.40 sonrası cPanel ve WHM sürümleri, giriş akışında kimliği doğrulanmamış uzaktan saldırganların kontrol paneline yetkisiz erişim elde etmesine olanak tanıyan bir kimlik doğrulama atlama açığı içermektedir.”

Yapılması Gerekenler

cPanel, müşterilerden aşağıdaki adımları atmasını istedi:

  • Sunucuyu yukarıda listelenen sürümlerden birine derhal güncelleyin: /scripts/upcp --force
  • cPanel derleme sürümünü doğrulayın ve yeniden başlatma yapın

Yama uygulanana kadar alınabilecek geçici önlemler:

  • Güvenlik duvarında 2083, 2087, 2095 ve 2096 portlarına gelen trafiği engelleyin, veya
  • cpsrvd ve cpdavd servislerini durdurun

Aktif İstismar ve Etki Alanı

Reddit’teki raporlar, açığın sıfırıncı gün olarak aktif şekilde istismar edildiğini gösteriyor. KnownHost CEO’su Daniel Pearson şöyle dedi: “Bu kesinlikle vahşi doğada kullanıldı ve en az 30 gündür, belki daha uzun süredir görülmektedir.”

Eye Security, LinkedIn’de paylaştığı bir gönderide internete bağlı 2 milyondan fazla cPanel örneği tespit ettiğini bildirdi. Ancak bunların kaçının otomatik güncelleme özelliğinin etkin olduğu ve açığa karşı savunmasız olduğu şu an bilinmiyor.

cPanel Ele Geçirilmesinin Sonuçları

Hadrian’ın uyarısına göre, cPanel’in ele geçirilmesi tek bir müşteri web sitesinin ele geçirilmesinden çok farklıdır. WHM, sunucuya root yönetici erişimi sağlar. Bu erişime sahip bir saldırgan:

  • Tüm müşteri barındırma hesaplarını okuyabilir
  • Dosyaları ve veritabanlarını değiştirebilir
  • Arka kapı hesapları oluşturabilir, kötü amaçlı yazılım yükleyebilir
  • Kimlik bilgilerini çalabilir ve müşteri ağlarına sızabilir

Teknik Neden

CRLF enjeksiyonu

Rapid7’ye göre CVE-2026-41940, cPanel ve WHM’nin giriş ve oturum yükleme süreçlerinde bir CRLF (Satır Başı Satır Besleme) enjeksiyonundan kaynaklanıyor.

Kimlik doğrulama gerçekleşmeden önce, cpsrvd (cPanel hizmet daemon’u) diske yeni bir oturum dosyası yazar. Açık, saldırganın whostmgrsession çerezini manipüle ederek, çerez değerinin beklenen bir bölümünü atlayıp saldırgan tarafından sağlanan değere normalde uygulanan şifreleme sürecinden kaçmasına olanak tanır.

Saldırganlar, kötü amaçlı bir temel yetkilendirme başlığı aracılığıyla ham \r\n karakterleri enjekte edebilir ve sistem daha sonra veriyi temizlemeden oturum dosyasını yazar. Sonuç olarak saldırgan, oturum dosyasına user=root gibi rastgele özellikler ekleyebilir. Oturum dosyasından yeniden yükleme tetiklendikten sonra, saldırgan kendi token’ı için yönetici düzeyinde erişim elde eder.

Ele Geçirilme Göstergeleri

cPanel, aşağıdaki ele geçirilme göstergelerini arayan bir tespit betiği yayınladı:

  • Oturumda hem token_denied hem de cp_security_token ile method=badpass kaynağı bulunması
  • Kimliği doğrulanmış niteliklere sahip, önceden kimliği doğrulanmamış oturum
  • Geçerli bir kaynak olmadan tfa_verified içeren herhangi bir oturum
  • Yeni satır karakterleri içeren şifre alanı

Teklif Alın

Uzman ekibimizle birlikte çalışmak için ilk adımı atın. Teklif formunu doldurun.

Teklif Al
maskot

Benzer Yazılar

Gönderi Bulunamadı

Kategoriler