İçindekiler
cPanel ve WHM’de Kritik Güvenlik Açığı (CVE-2026-41940)
Web hosting altyapısının kalbinde yer alan cPanel ve WebHost Manager (WHM)
yazılımlarında, dünya genelinde milyonlarca web sitesini doğrudan tehdit eden
kritik bir güvenlik açığı tespit edildi. CVE-2026-41940 kodlu açık,
saldırganın hiçbir kullanıcı adı veya parolaya ihtiyaç duymadan sunucu
yönetim paneline tam yetkiyle giriş yapmasına olanak tanıyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açığı Bilinen İstismar
Edilen Açıklar (KEV) kataloğuna ekleyerek federal kurumlara 3 Mayıs 2026
tarihine kadar yamayı uygulama zorunluluğu getirdi. Açığın CVSS 4.0 puanı
9.3, CVSS 3.1 puanı ise 9.8 olarak hesaplandı — bu skor “kritik” sınıfının
üst sınırını temsil ediyor.
Açığa Ne Sebep Oluyor?
CVE-2026-41940, teknik sınıflandırma olarak CWE-306: Missing Authentication
for Critical Function (Kritik Fonksiyon İçin Eksik Kimlik Doğrulama)
kategorisine giriyor. Yazılım mühendisliğinde bu kategorideki açıklar, bir
uygulamanın hassas bir işlemi gerçekleştirmeden önce kullanıcının kimliğini
doğrulamayı atlaması durumunda ortaya çıkıyor.
Somut olarak ifade etmek gerekirse: cPanel’in oturum açma akışındaki bir
mantık hatası, belirli koşullar altında giriş ekranını “başarılı oturum”
olarak yorumluyor. Saldırgan, sunucunun 2083 (cPanel) veya 2087 (WHM)
portuna gönderdiği özel hazırlanmış bir istek ile:
– Doğrudan WHM yönetim paneline erişiyor
– Sunucu üzerindeki tüm müşteri hesaplarını görüntüleyebiliyor
– Yeni hesap açabiliyor, mevcut hesapları silebiliyor
– E-posta, veritabanı ve dosya sistemine erişiyor
– Sunucuya kalıcı arka kapı (backdoor) yerleştirebiliyor
Saldırı vektörü tamamen uzaktan ve kimlik doğrulamasız (CVSS vector:
AV:N/AC:L/PR:N/UI:N); yani saldırganın sunucuya fiziksel erişimi, çalınmış
kimlik bilgisi veya kullanıcı etkileşimi olmasına gerek yok. İnternete açık
her yamasız cPanel kurulumu otomatik tarayıcı botların hedefinde.
Etkilenen Sürümler
NIST Ulusal Açıklık Veritabanı (NVD) verilerine göre aşağıdaki cPanel & WHM
sürüm aralıkları açıktan etkileniyor:
– 11.40 – 86.0.40 arası tüm sürümler
– 88.0.0 – 110.0.96 arası
– 112.0.0 – 118.0.62 arası
– 120.0.0 – 126.0.53 arası
– 128.0.0 – 130.0.18 arası
– 132.0.0 – 132.0.28 arası
– 134.0.0 – 134.0.19 arası
– 136.0.0 – 136.0.4 arası
– WordPress Squared (WP2): 136.1.7 öncesi tüm sürümler
cPanel ekibi acil güvenlik güncellemesi (Targeted Security Release)
yayınladı. Yamalı güvenli sürümler:
– 11.110.0.97
– 11.118.0.63
– 11.126.0.54
– 11.132.0.29
– 11.134.0.20
– 11.136.0.5 (en güncel kararlı sürüm)
İstismar Tarihçesi
KnownHost CEO’su Daniel Pearson, şirket ağlarında 23 Şubat 2026 itibarıyla
yetkisiz erişim girişimlerinin tespit edildiğini açıkladı. Pearson’a göre
yaklaşık 30 sunucu hedef alındı; ancak veri ihlali kanıtı bulunamadı.
Açık yayınlandıktan sonra Namecheap, müşterilerini korumak amacıyla yama
dönemi boyunca 2083 ve 2087 portlarına erişimi geçici olarak kısıtladı.
HostGator ve diğer büyük hosting sağlayıcıları güncellemeleri tamamladıklarını
duyurdu. Buna rağmen güvenlik araştırmacıları, internete bakan on binlerce
cPanel kurulumunun hâlâ yamasız durumda kaldığını rapor ediyor.
Korunma Yöntemleri
Sunucu Yöneticileri İçin (VDS, VPS, Dedicated)
Açıktan korunmanın tek kesin yolu cPanel/WHM yazılımını yamalı bir sürüme
yükseltmek. Sunucunuza SSH ile bağlanıp aşağıdaki komutları çalıştırın:
# Mevcut sürümü kontrol edin
/usr/local/cpanel/cpanel -V
# Yamayı zorunlu güncelleme ile uygulayın
/scripts/upcp –force
# Güncelleme sonrası sürümü doğrulayın
/usr/local/cpanel/cpanel -V
Yamalı sürümün yüklendiğini doğruladıktan sonra:
1. Yetkisiz oturum girişlerini denetleyin:
grep “FAILED” /usr/local/cpanel/logs/access_log | tail -200
grep “DEFERRED” /usr/local/cpanel/logs/login_log | tail -200
2. Tüm aktif oturumları sonlandırın:
WHM → Manage Shell Sessions → Terminate All
3. Yönetici ve müşteri parolalarını sıfırlayın
(özellikle root ve reseller hesapları)
4. SSH anahtarlarını yenileyin ve ~/.ssh/authorized_keys dosyalarını
denetleyin
5. İki faktörlü kimlik doğrulamayı zorunlu kılın:
WHM → Security Center → Two-Factor Authentication
6. Rootkit taraması yapın: chkrootkit ve rkhunter –check ile
7. cPHulk Brute Force Protection aktif edin ve eşik değerlerini düşürün
8. Mümkünse 2083/2087 portlarına IP kısıtlaması uygulayın
(CSF firewall ile)
Web Sitesi Sahipleri İçin (Paylaşımlı Hosting Müşterileri)
Paylaşımlı hosting kullanıyorsanız sunucu yamasını sağlayıcınız uygular.
Buna rağmen kendi tarafınızda almanız gereken önlemler var:
1. Hosting sağlayıcınıza yamayı uyguladıkları tarihi sorun
2. cPanel, FTP, e-posta ve veritabanı parolalarınızı yenileyin
3. cPanel → Security → Two-Factor Authentication ile 2FA aktifleştirin
4. Son giriş kayıtlarınızı kontrol edin
(cPanel → Security → Track Login History)
5. Son haftaya ait tam yedeklerinizin erişilebilir olduğunu doğrulayın
6. WordPress veya benzer CMS kullanıyorsanız wp-config.php üzerindeki
veritabanı parolasını ve auth keys/salts değerlerini yenileyin
Acil Aksiyon Çağrısı
CVE-2026-41940, son yılların en yüksek skorlu cPanel açıklarından biri.
Açık halihazırda aktif olarak istismar ediliyor ve kamuya açık exploit kodu
mevcut. Yamalı sürüme geçmemiş her sunucu, otomatik tarayıcı botların
hedefinde — bu açığın istismarı saldırgan için bir komut satırı kadar basit.
Sunucu yöneticilerine, hosting sağlayıcılarına ve web sitesi sahiplerine
çağrımız net: Yamayı bugün uygulayın, yarına bırakmayın. CISA’nın federal
kurumlar için belirlediği 3 Mayıs 2026 son tarihi, açığın ciddiyetini
gösteren güçlü bir referanstır.
Kaynaklar
– NIST National Vulnerability Database — CVE-2026-41940
– CISA Known Exploited Vulnerabilities Catalog
– cPanel Targeted Security Release Notes
– BleepingComputer — cPanel/WHM emergency update fixes critical auth
bypass bug
– KnownHost güvenlik bildirimi (Daniel Pearson, CEO)