cPanel ve WHM Yazılımlarında Kritik Kimlik Doğrulama Açığı: CVE-2026-41940

cpanel

Dünya genelinde milyonlarca web sitesinin ve sunucunun yönetiminde kullanılan cPanel ve WebHost Manager (WHM) yazılımlarında, sistemlerin kontrolünün tamamen ele geçirilmesine zemin hazırlayan kritik bir güvenlik zafiyeti tespit edilmiştir. Uluslararası güvenlik standartlarında CVE-2026-41940 koduyla tanımlanan bu sıfırıncı gün (zero-day) açığı, Ortak Zafiyet Puanlama Sistemi (CVSS) üzerinde 10 üzerinden 9.8 gibi oldukça yüksek ve tehlikeli bir kritiklik skoru almıştır.

Söz konusu zafiyet, kötü niyetli kişilerin herhangi bir kimlik doğrulamasına ihtiyaç duymadan, doğrudan yönetim paneline yetkisiz erişim sağlamalarına imkan tanımaktadır. Bu durum, sunucu genelindeki tüm verilerin, barındırılan web sitelerinin ve kullanıcı hesaplarının tam kontrolünün saldırganların eline geçmesi riskini doğurmaktadır.

Teknik Altyapı ve Zafiyetin Detayları

Bu güvenlik açığının temelinde, cPanel ve WHM mimarisinin giriş ile kimlik doğrulama süreçlerindeki bir filtreleme hatası yer almaktadır. Teknik adıyla bir CRLF (Carriage Return Line Feed) enjeksiyonu ve kimlik doğrulama atlatma (authentication bypass) mekanizması olan bu zafiyet, sunucu yönetim servisinin (cpsrvd) gelen parametreleri hatalı işlemesinden kaynaklanmaktadır.

Saldırganlar, özel olarak yapılandırılmış HTTP istekleri göndererek sistemin kimlik doğrulama mekanizmasını devre dışı bırakabilmekte ve doğrudan en üst düzey yetkili olan root veya WHM yöneticisi gibi oturum açabilmektedir. Açığın sıfırıncı gün statüsünde olması, yani resmi yamalar geliştirilmeden önce siber saldırganlar tarafından aktif olarak istismar edilmeye başlanması, tehlikenin boyutunu artırmaktadır. Yapılan teknik incelemeler, bu zafiyetin şubat ayından bu yana kapalı gruplar tarafından izlendiğini ve sınırlı sayıda sunucu üzerinde deneme saldırılarına maruz kaldığını göstermektedir.

Etkilenen Sürümler ve Güvenli Versiyonlar

Güvenlik açığı, cPanel ve WHM’nin aktif olarak desteklenen ve güncellenmeyen tüm eski sürümlerini kapsamaktadır. Geliştirici ekip tarafından zafiyeti ortadan kaldırmak amacıyla ivedilikle yamalanmış ve güvenli hale getirilmiş resmi sürümler şunlardır:

  • 11.136.0.5

  • 11.134.0.20

  • 11.132.0.29

  • 11.126.0.54

  • 11.118.0.63

  • 11.110.0.97

  • 11.86.0.41

  • 11.130.0.19

Eğer sunucularınızda bu sürümlerden daha eski veya belirtilen majör versiyonların altındaki yamalanmamış alt sürümler çalışıyorsa, sistemleriniz doğrudan açık hedef konumundadır.

Alınması Gereken Önlemler ve Acil Eylem Planı

Siber güvenlik ekosisteminde yer alan büyük web barındırma (hosting) ve alan adı tescil firmaları, altyapılarındaki riskleri azaltmak adına geçici ve kalıcı birtakım önlemleri devreye sokmuştur. Sunucu yöneticilerinin ve altyapı sorumlularının veri ihlallerini önlemek adına gecikmeksizin uygulaması gereken adımlar şunlardır:

  • Derhal Güncelleme Yapılması: Sunucu üzerinde SSH bağlantısı sağlanarak cPanel güncelleme komutunun (/scripts/upcp --force) çalıştırılması ve sistemin yukarıda belirtilen güvenli sürümlerden birine yükseltilmesi gerekmektedir. Güncelleme tamamlandıktan sonra cPanel ana yönetim servisinin (cpsrvd) yeniden başlatılması zorunludur.

  • Ağ Seviyesinde Port Kısıtlaması: Güncelleme işlemleri tamamen bitene kadar, cPanel ve WHM yönetim arayüzlerine erişim sağlayan TCP 2083 (cPanel SSL) ve TCP 2087 (WHM SSL) portlarının tüm internete açık bırakılmaması gerekir. Bu portlara erişim, donanımsal veya yazılımsal güvenlik duvarları (firewall) üzerinden sadece güvenilir sabit IP adreslerine veya şirket içi VPN ağlarına kısıtlanmalıdır. Port taramalarında bu servislerin “filtered” (filtrelenmiş) olarak görünmesi, dışarıdan gelebilecek doğrudan saldırıları engelleyecektir.

  • İstismar Göstergelerinin Kontrolü: Sunuculardaki mevcut oturum dosyaları, WHM erişim logları ve sistem giriş kayıtları (auth.log / secure) incelenmelidir. Sistemde yetkisiz olarak tanımlanmış Cron görevleri (cron jobs), yabancı SSH anahtarları (authorized_keys) veya web dizinlerine sızdırılmış zararlı yazılımlar (web shell/backdoor) olup olmadığı geriye dönük olarak denetlenmelidir. Şüpheli bir bulguya rastlanması durumunda, tüm root ve WHM yönetici şifrelerinin derhal değiştirilmesi gerekmektedir.