Acil Güvenlik Duyurusu – cPanel/WHM Kritik Güvenlik Açığı (CVE-2026-41940)

Değerli Kullanıcılarımız,

28 Nisan 2026 tarihinde cPanel resmi olarak, mevcut cPanel/WHM kurulumlarının tamamını etkileyen kritik öneme sahip bir güvenlik açığını (CVE-2026-41940) duyurmuştur. Konunun ciddiyeti nedeniyle bu duyuruyu sizlerle paylaşma gereği duyduk.

Açığın Niteliği

Söz konusu zafiyet, cPanel/WHM'in giriş (login) akışı üzerinde yer alan bir kimlik doğrulama atlatma (authentication bypass) açığıdır. Bağımsız güvenlik araştırma şirketleri tarafından CWE-306 (Missing Authentication for Critical Function – kritik bir fonksiyonda kimlik doğrulamasının uygulanmamış olması) sınıfında değerlendirilmiştir. CVSS skoru her iki versiyon (3.1 ve 4.0) üzerinde CRITICAL seviyesinde belirlenmiştir (9.3 – 9.8 arası).

Nasıl Oluştu?

Açık, yıllar içerisinde cPanel'in giriş akışına eklenen mantık katmanları arasında bir tutarsızlıktan kaynaklanmıştır. Saldırgana ait özel hazırlanmış bir HTTP isteği, normalde yalnızca geçerli kimlik bilgileriyle elde edilebilen bir oturum belirteci (session token) kazanılmasına imkân tanımaktadır. Yani sistem, hiç kimlik doğrulaması yapmamış bir istemciye geçerli bir oturum üretebilmekte ve bu oturum yetkili admin oturumu gibi davranmaktadır. Bu tür mantık hatalarının üretim sürümlerine ulaşmasının nedeni genellikle, yardımcı kimlik akışlarının (Basic Auth, fallback flow vb.) modern arayüz değişiklikleriyle birlikte yetkilendirme katmanından muaf tutulması gibi karmaşık etkileşimlerdir.

Nasıl Kullanılabilir Hale Geliyor?

• Saldırganın yalnızca hedef sunucuya ağ erişimi (TCP 2082/2083/2086/2087) olması yeterlidir.
• Geçerli bir kullanıcı adı, parolası, API anahtarı veya kullanıcı etkileşimi gerekmemektedir.
• Açıkı tetikleyen istek, cPanel'in giriş akışında oluşturulan oturum mekanizmasını manipüle ederek doğrudan yetkili bir admin oturumu üretmektedir.
• Elde edilen admin oturumu üzerinden cPanel/WHM yönetim paneline tam erişim sağlanmakta, bu da pratikte uzaktan kod çalıştırma (RCE) seviyesine yükseltilebilmektedir.

Halihazırda bağımsız güvenlik araştırmacıları tarafından çalışan kavram kanıtı (PoC) kodları kamuoyuyla paylaşılmıştır; bu nedenle açığın aktif olarak istismar edilme penceresi açıktır.

Kendi Tarafımızdaki Durum

WISECP tarafından sunulan cPanel hosting hizmetlerindeki tüm sunucularımız bu açığın yamalandığı 11.134.0.20sürümündedir; sistemlerimiz bu zafiyetten etkilenmemektedir.

Sizden Beklediğimiz Aksiyon

Eğer cPanel/WHM tabanlı kendi sunucularınızı işletiyorsanız, lütfen aşağıdaki yamalanmış sürüm hatlarından birine acilen yükselttiğinizden emin olunuz:

11.110.0.97,
11.118.0.63,
11.126.0.54,
11.132.0.29,
11.134.0.20,
11.136.0.5

Önerilen ek adımlar:

• WHM > Update Preferences üzerinden cPanel otomatik güncellemelerinin etkin olduğunu doğrulayınız.
• Güncelleme tamamlanana kadar, mümkünse cPanel/WHM yönetim portlarına (2083, 2087) erişimi yalnızca güvendiğiniz IP adresleriyle sınırlandırınız.
• Güncelleme sonrası sunucu loglarınızda olağandışı admin oturumları, beklenmeyen API çağrıları veya yeni oluşturulmuş hesaplar açısından kısa bir denetim yapınız.

Resmi referans:

• cPanel Güvenlik Bülteni (28 Nisan 2026): https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
• NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-41940

Sürecin önemine dikkat çekmek istedik; ek bir konuda destek ihtiyacınız olduğunda her zaman ulaşabilirsiniz.

WISESOFT Ekibi