CVE-2026-41940: İki Ay Yamalanmadan Kalan cPanel Sıfır Gün Açığı
28 Nisan 2026’da cPanel, CVE-2026-41940 numaralı açık için acil bir yama yayımladı. CVSS puanı 9.8 olan bu kritik kimlik doğrulama bypass açığının, saldırganlar tarafından yaklaşık 23 Şubat’tan bu yana sessiz sedasız istismar edildiği anlaşıldı. Yani söz konusu açık, internete bakan yaklaşık 1,5 milyon cPanel & WHM kurulumunu iki aya yakın süre etkiledi. CISA, açığı Bilinen İstismar Edilen Güvenlik Açıkları listesine derhal ekledi; bu listenin anlamı basittir: okumayı bırak, yamayı uygula. Açık Tam Olarak Ne Yapıyor? Sorun, cPanel & WHM’in oturum açma ve oturum yükleme kodunda yatıyor. Temel sebep ise kötü niyetli bir HTTP Basic Authorization başlığındaki CRLF (\r\n) karakterlerinin temizlenmemesi. ...