Teknoloji

cPanel’deki bir oturum açma hatası 70 milyon web sitesini herkese açık bıraktı

Açık, cPanel yamayı yayınlayamadan önce zaten istismar ediliyordu. Büyük barındırma sağlayıcıları güncellemeyi dağıtırken yönetim portlarına dış erişimi geçici olarak kesti — internetin geri kalanı hâlâ yetişmeye çalışıyor.
cPanel’deki bir oturum açma hatası 70 milyon web sitesini herkese açık bıraktı
cPanel bug
Susan Hill
29 Nisan 2026 - 18:32

cPanel ve WHM’deki kritik bir kimlik doğrulama atlatma açığı, saldırganların internete açık herhangi bir kontrol panelinin ön kapısından kullanıcı adı ve parola olmadan içeri girmesine olanak tanıyordu. CVE-2026-41940 olarak kayıtlara geçen ve 10 üzerinden 9,8 CVSS puanına sahip bu açık, dünyada yaklaşık 70 milyon alan adını yöneten yazılımın desteklenen tüm sürümlerini etkiliyor. Güvenlik araştırmacıları, acil yamanın yayımlandığı sırada aktif istismarların zaten dolaşımda olduğunu doğruluyor — birçok barındırma sağlayıcısı için soru artık sunucularının savunmasız olup olmadığı değil, güncelleme ulaşmadan önce ele geçirilip geçirilmediği.

Açık, cPanel’in oturum yükleme ve kaydetme mantığında yer alıyor; dahili olarak CPANEL-52908 olarak izleniyor. Pratik anlamda, bir saldırgan hatalı biçimlendirilmiş bir oturum açma isteği gönderip hiç kimlik doğrulama yapmadığı bir hesabın geçerli oturum kimlik bilgilerini alabiliyordu — en kötü durumda bu, barındırma hesaplarını, e-posta yönlendirmesini, SSL sertifikalarını ve veritabanı hizmetlerini kontrol eden sunucu tarafı panel WHM’ye root erişimine kadar uzanıyor. Altı sürüm dalı acil yama gerektirdi: 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20 ve 11.136.0.5. Hâlâ desteklenmeyen cPanel sürümlerini çalıştıran sunucular hiçbir yama almayacak ve aktif olarak ele geçirilmiş kabul edilmeli.

cPanel, tüketici web’inin büyük bölümünü taşıyan paylaşımlı barındırma altyapısının standart kontrol paneli katmanıdır. Tek bir cPanel sunucusuna karşı başarılı bir ihlal, alt akıştaki binlerce siteye yayılabilir — o makinede barındırılan her alan adı, ek olarak e-postaları, veritabanları ve müşteri dosyaları. watchTowr Labs araştırma ekibi etkilenen sistemleri “internetin önemli bir bölümünün yönetim düzlemi” olarak tanımlarken, KnownHost adlı sağlayıcı, herhangi bir kamuya açık uyarı yayımlanmadan önce istismarın zaten devam ettiğini doğruladı.

İnternetin hiç sahip olmadığı kimlik katmanı, şimdi sentetik baskı altında inşa ediliyor

Platformun en büyük yeniden satıcı barındırma şirketlerinden biri olan Namecheap, alışılmadık bir adım atarak yamayı dağıtırken tüm müşterileri için 2083 ve 2087 portlarına — cPanel ve WHM’nin web giriş noktalarına — erişimi geçici olarak engelledi. Güncelleme şirketin Reseller ve Stellar Business filolarına ulaştığında, platform dışarıdan bakıldığında saatlerce fiilen kapalı kalmıştı. Diğer büyük sağlayıcılar da benzer uyarılar yayımladı ve müşterilerine otomatik bakım penceresini beklemek yerine güncellemeyi zorla çekmek için root olarak /scripts/upcp –force çalıştırmalarını önerdi.

Alarmın tonu nüansları hak ediyor. cPanel’in kendisi açık hakkında derin teknik ayrıntılar yayımlamadı — kamuya açık analizin büyük bölümü yamayı tersine mühendislikle çözen dış araştırmacılardan geliyor, bu da istismarın tam koşullarının kısmen örtülü kalmaya devam ettiği anlamına geliyor. “70 milyon alan adı” rakamı, cPanel’in kendi pazarlama materyallerinde uzun süredir kullanılan bir tahmin ve tek bir panel sunucusunun binlerce siteyi yönettiği paylaşımlı barındırma hesaplarını da kapsıyor; gerçekte etkilenen benzersiz sunucu sayısı çok daha az. Ve yamadan önceki istismar doğrulanmış olsa bile, bu CVE’ye atfedilen büyük çaplı bir kamuya açık ihlal henüz açıklanmadı — adli incelemeler sonuçlandıkça önümüzdeki haftalarda durum değişebilir veya değişmeyebilir.

Olay, güvenlik araştırmacılarının yıllardır işaret ettiği bir kalıba uyuyor: tüketici barındırma yönetim katmanı, internetteki en değerli ama en az gözetlenen hedeflerden biri. Tek bir kontrol paneli bileşenindeki bir hata, saldırgana eş zamanlı olarak savunması zayıf binlerce küçük işletme ve kişisel sitenin anahtarını teslim edebilir — egzotik istismar zincirleri gerektirmeden. cPanel sınıfı yazılımlardaki kimlik doğrulama atlatma açıkları yer altı pazarlarında yüksek fiyatlara satılıyor ve açıklamadan tam yama kapsamasına kadar geçen süre yönetilmeyen bağımsız sunucular için haftalar cinsinden ölçülüyor — kamuoyu haber döngüsü çoktan başka konulara geçtikten çok sonra.

cPanel acil yamaları 28 Nisan’da yayımladı, Namecheap ve diğer büyük sağlayıcılar dağıtımı 29 Nisan’ın erken saatlerinde tamamladı. cPanel veya WHM sunucusu yöneticileri, sürümlerinin yamalı yapılardan birinde olduğunu derhal doğrulamalı ve yamadan önceki günlerde savunmasız bir sürümü internete açık tutan herhangi bir sunucuyu olası şekilde ele geçirilmiş kabul etmelidir. cPanel kamuya açık bir olay sonrası rapor yayımlama taahhüdünde bulunmadı.

Buna benzer içerikler

WhatsApp kullanıcı adlarını başlattı — telefon numarasını artık paylaşmak zorunda değilsin

WhatsApp kullanıcı adlarını başlattı — telefon numarasını artık paylaşmak zorunda değilsin

Hexstrike-AI: Otonom Sıfır Gün Açığı Sömürüsünün Şafağı

Hexstrike-AI: Otonom Sıfır Gün Açığı Sömürüsünün Şafağı

Yöneten Hayalet: Otonom Yapay Zeka, Onu Dizginlemek İçin Tasarlanan Sistemlerin Önüne Geçtiğinde

Yöneten Hayalet: Otonom Yapay Zeka, Onu Dizginlemek İçin Tasarlanan Sistemlerin Önüne Geçtiğinde

Samsung Galaxy Tab S11: Samsung’un iPad Pro’ya en ikna edici alternatifi

Samsung Galaxy Tab S11: Samsung’un iPad Pro’ya en ikna edici alternatifi

Apple TinyGPU’yu onayladı ve Mac Mini yerel yapay zekaya kapı araladı

Apple TinyGPU’yu onayladı ve Mac Mini yerel yapay zekaya kapı araladı

Grup Sohbetlerinin Evcilleştirilmesi: WhatsApp Dijital Sosyal Hayatımızı Nasıl Şekillendiriyor?

Grup Sohbetlerinin Evcilleştirilmesi: WhatsApp Dijital Sosyal Hayatımızı Nasıl Şekillendiriyor?

Tartışma

S kadar yorum var.