CVE-2026-29204: WHMCS'nin Yetkilendirme Açığı 10.0 Puan Aldı — Güncellemeyi Ertelemeyin
WHMCS kullanıyorsanız ve geçen hafta güncelleme yapmadıysanız, bu yazıyı okumayı bırakıp önce güncellemeyi yapın. Tamamlandı mı? O zaman devam edelim. Açık Nedir? 12 Mayıs 2026’da WHMCS, CVE-2026-29204 numaralı bir güvenlik açığını duyurdu. Sorun, clientarea.php dosyasında yer alan eksik sahiplik kontrollerinden kaynaklanıyor. Teknik adıyla bu bir IDOR (Insecure Direct Object Reference / Kullanıcı Denetimli Anahtarla Yetkilendirme Atlatma) açığıdır ve CWE-639 olarak sınıflandırılmıştır. Sorunun özü şu: Müşteri panelinde bir kullanıcı, addonId parametresini içeren bir istek gönderdiğinde WHMCS bu eklentinin gerçekten o hesaba ait olup olmadığını doğrulamıyor. Başka bir kullanıcının addonId değerini tahmin eden ya da ele geçiren biri, o kişinin hizmetlerine doğrudan erişebiliyor. ...