WHMCS kullanıyorsanız ve geçen hafta güncelleme yapmadıysanız, bu yazıyı okumayı bırakıp önce güncellemeyi yapın. Tamamlandı mı? O zaman devam edelim.
Açık Nedir?
12 Mayıs 2026’da WHMCS, CVE-2026-29204 numaralı bir güvenlik açığını duyurdu. Sorun, clientarea.php dosyasında yer alan eksik sahiplik kontrollerinden kaynaklanıyor. Teknik adıyla bu bir IDOR (Insecure Direct Object Reference / Kullanıcı Denetimli Anahtarla Yetkilendirme Atlatma) açığıdır ve CWE-639 olarak sınıflandırılmıştır.
Sorunun özü şu: Müşteri panelinde bir kullanıcı, addonId parametresini içeren bir istek gönderdiğinde WHMCS bu eklentinin gerçekten o hesaba ait olup olmadığını doğrulamıyor. Başka bir kullanıcının addonId değerini tahmin eden ya da ele geçiren biri, o kişinin hizmetlerine doğrudan erişebiliyor.
Açık, HackerOne üzerindeki güvenlik ödül programı aracılığıyla sorumlu bir şekilde bildirildi. Atanan CVSS 3.1 puanı 10.0 KRİTİK (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N). WHMCS’nin kendi duyurusunda açığın geçerli bir müşteri oturumu gerektirdiği belirtiliyor; ancak her iki senaryoda da sonuç aynı: platformunuzdaki herhangi bir müşteri, başka bir müşterinin verilerine ulaşmak için potansiyel bir tehdit unsuruna dönüşebilir.
NVD kaydında dikkat çeken bir ayrıntı daha var: Başarılı bir saldırı yalnızca WHMCS hizmet kaydıyla sınırlı kalmıyor; kurbanın cPanel hesabına kadar uzanabiliyor. Tipik bir paylaşımlı barındırma altyapısında WHMCS ile cPanel API entegrasyonu neredeyse her zaman mevcuttur; bu da saldırı yolunu ciddi ölçüde kısaltıyor.
Hangi Sürümler Etkileniyor?
7.4.0 sürümünden itibaren piyasaya çıkmış tüm WHMCS kurulumları bu açıktan etkileniyor:
- 7.x — 7.4.0 ve sonrası tüm sürümler
- 8.x — 8.13.3 öncesi tüm sürümler
- 9.x — 9.0.4 öncesi tüm sürümler
WHMCS, 7.x serisini artık desteklemediği için bu dal için herhangi bir yama sunmuyor. 7.x üzerindeyseniz tek çözüm desteklenen bir sürüme geçmek.
Düzeltme ve Geçici Çözüm
WHMCS, 13 Mayıs 2026’da 8.13.3 ve 9.0.4 sürümlerini yayımladı. Güncellemeyi standart WHMCS güncelleyicisinden ya da download.whmcs.com adresinden yapabilirsiniz.
Hemen güncelleme yapma imkânınız yoksa, WHMCS geçici bir çözüm paylaştı. configuration.php dosyasına, varsa kapanış ?> etiketinin hemen öncesine şu bloğu ekleyin:
if (isset($_REQUEST['addonId'])) {
die('This has been disabled.');
}
Bu ekleme, müşteri panelindeki tüm ürün eklentisi modül komutlarını devre dışı bırakır. Müşterileriniz bazı eklenti işlemlerinde hata görebilir; ancak güncelleme yapana kadar bu riski göze almak makul bir tercih. Güncelleme sonrasında bu satırları mutlaka silin.
WHMCS Cloud üzerinde barındırılan kurulumlar otomatik olarak yamalandı; bu kullanıcıların herhangi bir işlem yapmasına gerek yok.
Saldırı Gerçekleşti mi Kontrol Edin
WHMCS, Aktivite Günlüğünün gözden geçirilmesini öneriyor. Özellikle hesap sahibiyle uyuşmayan kullanıcılardan gelen tek oturum açma (Single Sign-On) girişleri ya da hizmet erişim istekleri, aktif bir istismarın en belirgin göstergesi.
Resmi yamanın çıkmasından önce toplulukta geçici çözümlerin dolaşmaya başladığı biliniyor; bu da açığın kamuoyuna sızdığı an ile kötüye kullanım girişimleri arasındaki sürenin normalden kısa olduğuna işaret ediyor. Eğer yamayı geciktirdiyseniz ve günlüklerde olağandışı bir hareket görüyorsanız, bunu kesin bir olay olarak değerlendirin.
kalfaoglu.net Müşterileri İçin Ne Anlama Geliyor?
kalfaoglu.net altyapısında kullanılan WHMCS kurulumu güncellendi. Faturalama paneliyle ilgili herhangi bir işlem yapmanız gerekmiyor.
Ancak kendi barındırma hizmetlerinizi başka kullanıcılara sunan ve bunun için bağımsız bir WHMCS kurulumu işleten müşterilerimiz için durum farklı. Bu kurulumların ivedilikle güncellenmesi gerekiyor. Açık, müşteri listenizin tamamını kapsayan bir saldırı yüzeyi oluşturuyor: herhangi bir müşteri, diğer müşterilere ait hizmet kayıtlarına, hatta WHMCS API’si üzerinden sağlanan cPanel kimlik bilgilerine erişebilir.
Genel bir hatırlatma olarak: WHMCS gibi faturalama sistemleri, finansal veriler, kimlik doğrulama bilgileri ve sağlama API’lerinin kesiştiği kritik bir noktada yer alır. Bu sistemlerdeki bir ihlal nadiren sınırlı kalır.
Özet
| CVE | CVE-2026-29204 |
| Etkilenen sürümler | WHMCS 7.4.0 – 8.13.2 / 9.0.3 |
| Düzeltilen sürümler | WHMCS 8.13.3 ve 9.0.4 |
| CVSS 3.1 | 10.0 KRİTİK (HackerOne CNA) |
| Yayım tarihi | 12 Mayıs 2026 |
| Geçici çözüm | configuration.php‘de addonId isteklerini engelleyin |
Güncellemeyi yapın, aktivite günlüğünü kontrol edin, geçici çözüm kodunu eklediyseniz kaldırın. Yapılacaklar listesi bu kadar.