https://blog.kalfaoglu.net/tr/tags/idor/Recent content in Idor on kalfaoglu.netHugotrSun, 17 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-17-whmcs-cve-2026-29204-idor-tr/Sun, 17 May 2026 00:00:00 +0000https://blog.kalfaoglu.net/tr/posts/2026-05-17-whmcs-cve-2026-29204-idor-tr/<p>WHMCS kullanıyorsanız ve geçen hafta güncelleme yapmadıysanız, bu yazıyı okumayı bırakıp önce güncellemeyi yapın. Tamamlandı mı? O zaman devam edelim.</p> <h2 id="açık-nedir">Açık Nedir?</h2> <p>12 Mayıs 2026&rsquo;da WHMCS, <a href="https://help.whmcs.com/m/125386/l/2073908-cve-2026-29204">CVE-2026-29204</a> numaralı bir güvenlik açığını duyurdu. Sorun, <code>clientarea.php</code> dosyasında yer alan eksik sahiplik kontrollerinden kaynaklanıyor. Teknik adıyla bu bir IDOR (Insecure Direct Object Reference / Kullanıcı Denetimli Anahtarla Yetkilendirme Atlatma) açığıdır ve <a href="http://cwe.mitre.org/data/definitions/639.html">CWE-639</a> olarak sınıflandırılmıştır.</p> <p>Sorunun özü şu: Müşteri panelinde bir kullanıcı, <code>addonId</code> parametresini içeren bir istek gönderdiğinde WHMCS bu eklentinin gerçekten o hesaba ait olup olmadığını doğrulamıyor. Başka bir kullanıcının <code>addonId</code> değerini tahmin eden ya da ele geçiren biri, o kişinin hizmetlerine doğrudan erişebiliyor.</p>