cPanel’de Büyük Patlak: CVE-2026-41940 Nedir, Ne Yapmalı?

by Volkan YILDIZ
on Mayıs 1, 2026

Selamlar,

Geçtiğimiz günlerde hosting dünyasını kasıp kavuran şu cPanel meselesini (CVE-2026-41940) duymuşsunuzdur. İş gerçekten ciddi, o yüzden teknik rapor havasından çıkıp meselenin aslını, sanki bir kahve içerken anlatıyormuşum gibi özetledim.

İşte bilmemiz gerekenler:

Olay Ne?

28 Nisan’da patlak veren bu CVE-2026-41940 zafiyeti, cPanel ve WHM kullanan sunucular için tam bir kabus. İşin özü şu: Bir saldırgan, elinde hiçbir kullanıcı adı veya şifre olmadan, direkt kapıyı kırıp içeri girebiliyor ve sunucuda root (tam yetkili) olabiliyor. Sadece bir site değil, o sunucudaki tüm mailler, veritabanları ve dosyalar tehlike altında.

İşin Zaman Çizelgesi

Aslında bu açık yeni değilmiş; Şubat ayından beri yeraltı forumlarında “sıfırıncı gün” (zero-day) olarak kullanılıyormuş. Yani biz uyurken birileri sistemlere sızmaya başlamış bile.

  • 23 Şubat: İlk saldırılar gizlice başladı.

  • 14 Nisan: cPanel ekibi durumu fark etti.

  • 28 Nisan: Yama yayınlandı ve yer yerinden oynadı.

  • 30 Nisan: CISA, bunu “en tehlikeli açıklar” listesine ekledi.

İşin Teknik Mutfağı: Nasıl Yapıyorlar?

Zafiyetin adı CRLF Enjeksiyonu. cPanel’in cpsrvd dediğimiz ana servisi, oturum dosyalarını (session files) diske yazarken gelen veriyi tam temizlemiyor.

Saldırgan, şifre kısmına normal bir metin yerine özel “satır başı” karakterleri (CRLF) ekliyor. Sistem bu dosyayı okurken, saldırganın yazdığı o sahte satırları “gerçek yetki komutu” sanıyor.

Mesela, saldırgan şifre alanına öyle bir kod çakıyor ki, sistem dosyanın içine sanki kendi yazmış gibi user=root ve hasroot=1 satırlarını ekleyiveriyor. Sonuç? Şifresiz giriş.

Servis Sağlayıcılar Ne Yaptı?

Türkiye’de büyük sağlayıcılar çok hızlı refleks gösterdi. “Önce güvenliğe alalım, sonra düzeltiriz” mantığıyla radikal kararlar aldılar:

  1. Portları Kapattılar: 2083 (cPanel), 2087 (WHM) ve Webmail portlarını dış dünyaya geçici olarak kapattılar.

  2. Beyaz Liste (Whitelist): Panele girmek isteyenlerden IP adreslerini istediler. Yani sadece “tanıdık” IP’lere kapıyı açtılar.

  3. Alternatif Mail: Webmail kapandığı için iletişimin kopmaması adına kullanıcıları farklı bulut mail platformlarına yönlendirdiler.

Şimdi Ne Yapmalı?

Eğer kendi sunucunu yönetiyorsan veya bir hostingin varsa şunları kontrol etmen şart:

  • Versiyon Kontrolü: cPanel’in en son yamalı versiyonunda olduğundan emin ol (v110.0.97, v118.0.63, v126.0.54 gibi).

  • Sert Reset: Sadece güncelleyip bırakma; servisleri “hard restart” ile yeniden başlat ki hafızadaki eski açıklar temizlensin.

  • Şüpheli Durumlar: Sunucuda yetkisiz SSH anahtarı var mı, cron görevlerinde bilmediğin bir şey eklenmiş mi diye bir göz at.

Özetle; kapıları sağlam kilitlemekte fayda var, çünkü bu açık gerçekten “geleni içeri buyur eden” cinsten. Herkese güvenli çalışmalar!

Categories:

Metin

Tags:

Alastyr cPanel sorunuauthentication bypassbrute force dışı saldırıCISA kritik açık listesicPanel exploitcPanel güncellemecPanel güvenlik açığıcPanel hack nasıl yapılırcPanel patch 2026cpsrvd zafiyetiCRLF injection nedircron job kontrolüCVE-2026-41940exploit nedirhosting firması güvenlik önlemlerihosting güvenliğihosting kriz yönetimilinux server securitypenetration test ipuçlarıport 2083 2087 nedirroot yetki açığısession hijacking cpanelsiber güvenlik haberlerisistem yöneticisi rehberisite hacklenmesi nasıl önlenirssh güvenliğisunucu güvenliğisunucu hardeningsunucu log analiziTürkiye hosting güvenliğiweb hosting güvenlik açıklarıweb sunucusu saldırılarıwebmail güvenliğiWHM güvenlik sorunuwordpress hosting güvenliğiwordpress site güvenliğizero day açık

No responses yet

    Bir yanıt yazın

    E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir