Web dünyasının en yaygın kontrol panellerinden cPanel ve WHM, son derece kritik bir güvenlik açığıyla gündemde. “CVE-2026-41940” olarak tanımlanan bu zafiyetin, desteklenen tüm sürümleri etkilediği ve hâlihazırda aktif olarak istismar edildiği bildiriliyor. Söz konusu açık, saldırganların herhangi bir parola girmeden doğrudan “root” (tam yetkili yönetici) erişimi elde etmesine imkân tanıyor.
cPanel ve WHM’deki Açık, Milyonlarca Web Sitesini Tehlikeye Atıyor
Güvenlik araştırma şirketi watchTowr Labs, açığın teknik detaylarını ve istismar yöntemini kamuoyuyla paylaşırken hosting sağlayıcısı KnownHost ise hatanın gerçek saldırılarda kullanıldığını doğruladı. Bu gelişme, dünya genelinde 70 milyondan fazla web sitesini etkileyebilecek potansiyel bir krize işaret ediyor. Ek olarak watchTowr Labs, sistem yöneticilerinin risk durumunu hızlıca değerlendirebilmesi için GitHub üzerinden ücretsiz bir tespit aracı da yayınladı.
cPanel, bireysel site sahiplerinden büyük hosting firmalarına kadar geniş bir kullanıcı kitlesi tarafından; alan adları, e-posta hesapları, veri tabanları ve SSL sertifikalarını yönetmek için kullanılıyor. WHM ise bu sistemin sunucu seviyesindeki yönetim katmanını oluşturuyor.
Bu nedenle bir saldırganın WHM üzerinden “root” erişimi elde etmesi, yalnızca tek bir siteyi değil; aynı sunucuda barındırılan tüm web sitelerini ve verileri tamamen ele geçirmesi anlamına geliyor.
Saldırı Nasıl Çalışıyor?
Açığın istismar süreci oldukça basit ve yalnızca birkaç HTTP isteği ile tamamlanabiliyor:
- 1. Adım: Saldırgan kasıtlı olarak hatalı bir giriş denemesi yapıyor. Sistem, bu denemeye ait geçici bir oturum kaydı oluşturuyor ve saldırgana buna bağlı bir çerez (cookie) veriyor.
- 2. Adım: Bu çerez üzerinde küçük bir değişiklik yapılarak, sistemin parola verisini şifreleme mekanizması devre dışı bırakılıyor.
- 3. Adım: Saldırgan, özel olarak hazırlanmış bir parola alanı gönderiyor. Bu alan, gizli satır sonları içeriyor. cPanel bu satır sonlarını temizlemediği için oturum dosyasına sahte kayıtlar eklenebiliyor.
- 4. Adım: Eklenen sahte kayıtlar arasında “kullanıcı root’tur” ve “kimlik doğrulama başarılı” gibi ifadeler bulunuyor.
- 5. Adım: Sistem bu sahte kayıtları gerçek kabul ediyor ve parola kontrolünü tamamen atlayarak saldırgana yönetici erişimi veriyor.
Etkilenen Sürümler ve Güncellemeler
Aşağıdaki sürümler için güvenlik yamaları yayınlandı:
- 110.0.x → 11.110.0.97
- 118.0.x → 11.118.0.63
- 126.0.x → 11.126.0.54
- 132.0.x → 11.132.0.29
- 134.0.x → 11.134.0.20
- 136.0.x → 11.136.0.5
Eğer kullandığınız sürüm bu güncellenmiş versiyonlardan daha eskiyse, sisteminize izinsiz erişim sağlanmış olabileceğini göz önünde bulundurmanız gerekiyor. Bu nedenle ilk adım olarak yazılımı derhal güncellemeniz, ardından da sunucuyla ilişkili tüm kritik güvenlik bileşenlerini yenilemeniz büyük önem taşıyor.
Kaynak: labs.watchtowr.com