28 Nisan 2026’da cPanel, CVE-2026-41940 numaralı açık için acil bir yama yayımladı. CVSS puanı 9.8 olan bu kritik kimlik doğrulama bypass açığının, saldırganlar tarafından yaklaşık 23 Şubat’tan bu yana sessiz sedasız istismar edildiği anlaşıldı. Yani söz konusu açık, internete bakan yaklaşık 1,5 milyon cPanel & WHM kurulumunu iki aya yakın süre etkiledi. CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları listesine derhal ekledi; bu listenin anlamı basittir: okumayı bırak, yamayı uygula.
Açık Tam Olarak Ne Yapıyor?
Sorun, cPanel & WHM’in oturum açma ve oturum yükleme kodunda yatıyor. Temel sebep ise kötü niyetli bir HTTP Basic Authorization başlığındaki CRLF (\r\n) karakterlerinin temizlenmemesi.
Kısa açıklaması şöyle: cPanel, kullanıcı kimlik doğrulaması yaptığında oturum verilerini diske yazar. Saldırgan, ham satır başı/satır sonu karakterleri içeren özel hazırlanmış bir Authorization başlığı göndererek oturum dosyasına rastgele anahtar-değer çiftleri enjekte edebiliyor. Dosyaya user=root enjekte edildiğinde cPanel, herhangi bir parola doğrulaması yapmaksızın bu oturumun root yönetici hesabına ait olduğuna inanıyor.
İşin diğer parçası whostmgrsession çerezi. Saldırgan, beklenen çerez değerinin belirli bir bölümünü atladığında şifreleme adımı da atlanıyor ve oturum verisi manipülasyona açık hale geliyor. Sonuç: kimlik bilgisi sunmadan uzaktan WHM’e root düzeyinde erişim.
Rapid7 ve watchTowr, açığın teknik detaylarını kendi sunucusunu yöneten herkesin okumaya değer biçimde belgeledi.
Hangi Sürümler Etkileniyor?
v11.40 sonrasında çıkan tüm cPanel & WHM sürümleri etkileniyor. Bu, pratikte üretimdeki her cPanel sunucusunu kapsıyor. Yamalı sürümler şöyle:
| Dal | Yamalı sürüm |
|---|---|
| 110.0.x | 11.110.0.97 |
| 118.0.x | 11.118.0.63 |
| 126.0.x | 11.126.0.54 |
| 132.0.x | 11.132.0.29 |
| 134.0.x | 11.134.0.20 |
| 136.0.x | 11.136.0.5 |
cPanel altyapısı üzerine kurulu yönetilen WordPress platformu WP Squared de v136.1.7 sürümünde ayrıca etkileniyor.
cPanel’in otomatik güncelleme mekanizması, yamayı uygun sunuculara 29 Nisan’a kadar dağıtmış olmalıydı. Ancak “olmalıydı” ifadesi, bir sıfır gün açığı söz konusu olduğunda fazla iş yapıyor. Kendi sunucunuzu yönetiyorsanız ve çalışan sürümü doğrulamadıysanız şimdi yapın.
İki Aylık Boşluk
Üzerinde durulması gereken nokta zaman çizelgesi. Aktif istismar yaklaşık 23 Şubat’ta başlamış; cPanel’in kamuoyuna açık bildirisi ise 28 Nisan’a kadar gelmemiş. Aralarında altmış dört gün var. Bu süre boyunca cPanel çalıştıran herkes, farkında olmaksızın kolayca istismar edilebilen bir kimlik doğrulama bypass açığına maruz kaldı.
Saldırganların bu zaman dilimini nasıl kullandığı hâlâ soruşturuluyor. En belirgin risk açık: WHM’e root düzeyinde erişim sağlandığında veritabanları sızdırılabilir, arka kapılar yerleştirilebilir, posta yönlendirmeleri değiştirilebilir ya da erişim başkasına devredilebilir. Picus Security’nin analizi, etkinin ele geçirilen WHM örneğinin yönettiği tüm web siteleri, e-posta hesapları ve DNS bölgelerine yayıldığını vurguluyor.
Sunucunuz o dönemde internete açıksa ve otomatik güncellemeler etkin değilse, aksini kanıtlayana dek sistemi ele geçirilmiş kabul edin. WHM erişim loglarını inceleyin, beklenmedik cron görevleri ya da SSH anahtarları olup olmadığına bakın ve sunucuyu temiz ilan etmeden önce kapsamlı bir denetim yapın.
kalfaoglu.net Müşterileri İçin Ne Anlam İfade Ediyor?
kalfaoglu.net tarafından yönetilen tüm sunucularda otomatik cPanel güncellemeleri etkin durumda. Acil yama (28 Nisan’da yayımlandı, 29 Nisan’da uygulandı) altyapımızdaki tüm sunuculara güncelleme penceresi içinde otomatik olarak dağıtıldı.
Yama tarihi öncesindeki olası istismar göstergelerini tespit etmek amacıyla yönetilen sunucu filomuzda log incelemeleri yürütüyoruz. Endişe verici bir bulguyla karşılaşırsak etkilenen müşterilerle doğrudan iletişime geçeceğiz.
Kendi VPS veya dedicated sunucunuzu bağımsız olarak yönetiyorsanız: Ana Sayfa → cPanel → Güncelleme Tercihleri bölümünden WHM sürümünüzü kontrol edin, yukarıdaki tabloda yer alan yamalı sürümlerden biriyle eşleştiğini doğrulayın ve otomatik güvenlik güncellemelerini henüz açmadıysanız açın. Bu aşamada internete açık yamasız bir cPanel sunucusu gereksiz bir risk.
Büyük Resim
CVE-2026-41940, kontrol panellerinin geniş bir saldırı yüzeyi bulunduğunu ve sunucuda ayrıcalıklı bir konumda oturduğunu bir kez daha hatırlatıyor. Bir web çerçevesindeki ya da içerik yönetim sistemindeki açık genellikle tek bir web sitesini tehlikeye atar. WHM’deki bir açık ise o makinedeki her web sitesini, her e-posta hesabını ve her veritabanını aynı anda riske atar.
Bu durum cPanel kullanmamak için bir gerekçe değil; güncel tutmak ve WHM portunu (2087) tüm internete açık bırakmamak için bir gerekçe. WHM erişimini bilinen IP adreslerine kısıtlamak ya da en azından bir VPN veya güvenlik duvarı kuralının arkasına almak, bir sonraki sıfır gün açığı ortaya çıktığında maruz kalma sürenizi ciddi ölçüde kısaltır. Ve bir sonraki açık mutlaka gelecek.