Son günlerde siber güvenlik dünyasının en çok konuştuğu konulardan biri, cPanel ve WHM sistemlerinde ortaya çıkan kritik güvenlik açıkları oldu. Özellikle CVE-2026-41940 olarak kayıtlara geçen zafiyet, kısa sürede hem güvenlik araştırmacılarını hem de sistem yöneticilerini alarma geçirdi.
Uzmanlara göre bu açık sıradan bir web zafiyeti değil. Çünkü cPanel, internette gördüğümüz milyonlarca web sitesinin yönetildiği sistemlerin merkezinde yer alıyor. Web sitesi sahipleri burada dosya yükleyebiliyor, e-posta hesaplarını yönetebiliyor, veri tabanlarına erişebiliyor ve sitelerinin tüm kontrolünü sağlayabiliyor. WHM ise bu yapının daha üst seviyesi olarak sunucuların ve kullanıcı hesaplarının yönetilmesini sağlıyor. Kısacası biri sitelerin kontrol paneliyken, diğeri tüm sistemi yöneten merkez gibi çalışıyor.
SALDIRGANLAR GİRİŞ EKRANINI ATLATABİLİYOR
Güvenlik araştırmacılarına göre CVE-2026-41940 açığı, saldırganların bazı durumlarda kullanıcı adı ve şifreye ihtiyaç duymadan yönetim paneline erişebilmesine imkan tanıyor. Siber güvenlik dünyasında “authentication bypass” olarak geçen bu tür açıklar, en tehlikeli güvenlik zafiyetleri arasında gösteriliyor.
İddialara göre saldırının temelinde session dosyalarının güvensiz işlenmesi ve bazı SQL Injection problemleri bulunuyor. Araştırmalarda saldırganların cPanel’in “passwd” scriptine gönderilen URI parametreleri üzerinden sisteme zararlı SQL sorguları iletebildiği belirtiliyor.
Güvenlik raporlarında paylaşılan örneklerden biri ise şu şekildeUzmanlara göre uygulamanın kullanıcıdan gelen verileri yeterince filtrelememesi, saldırganların veritabanı sorgularını manipüle etmesine ve bazı durumlarda sunucu üzerinde tam yetki elde etmesine neden olabiliyor.
“FILEMANAGER” ARKA KAPISI ENDİŞE YARATTI
Araştırmalarda dikkat çeken bir diğer detay ise saldırganların sisteme erişim sağladıktan sonra “Filemanager” olarak adlandırılan bir backdoor yerleştirmesi oldu. Bu arka kapının saldırganlara:
-Kalıcı erişim,
-Gizli komut çalıştırma,
-Dosya yükleme ve indirme,
-Yetki yükseltme,
-Kimlik bilgisi toplama,
-Zararlı yazılım dağıtma
gibi oldukça tehlikeli imkanlar sunduğu belirtiliyor.
Uzmanlara göre bu durum saldırının yalnızca web sitesi ele geçirmekten ibaret olmadığını, doğrudan tüm sunucunun kontrol altına alınmasına kadar ilerleyebileceğini gösteriyor.
EN TEHLİKELİ KISIM: SALDIRILAR SESSİZ İLERLİYOR
Bu güvenlik açığını diğer saldırılardan ayıran en önemli detaylardan biri ise tespit edilmesinin oldukça zor olması. Çünkü saldırganlar klasik brute-force saldırılarındaki gibi yüzlerce başarısız giriş denemesi bırakmıyor.
Yani:
Şüpheli login kayıtları oluşmayabiliyor,
SIEM sistemleri alarm üretmeyebiliyor,
Geleneksel güvenlik çözümleri saldırıyı fark etmeyebiliyor.
Bu da saldırganların sistem içinde haftalar hatta aylar boyunca fark edilmeden kalabilmesine yol açabiliyor.
TEK BİR PANEL, BİNLERCE SİTE
Asıl risk ise burada başlıyor. Çünkü cPanel yalnızca tek bir web sitesini değil; aynı sunucuda bulunan birçok siteyi, e-posta sistemlerini ve veritabanlarını da yönetiyor. Yani saldırganların bu sisteme erişmesi, aynı anda çok sayıda web sitesinin de risk altına girmesi anlamına geliyor.
Siber güvenlik uzmanları özellikle paylaşımlı hosting altyapılarında etkinin çok daha büyük olabileceğini belirtiyor. Küçük şirketlerde bu durum tamamen operasyonel çöküşe neden olabilirken, daha büyük yapılarda veri sızıntıları, fidye yazılımı saldırıları ve tedarik zinciri ihlallerine kadar uzanabilecek riskler ortaya çıkabiliyor.
Bazı güvenlik raporlarında ise açığın Mirai botnet varyantları ve “Sorry” isimli fidye yazılımı dağıtımlarında kullanıldığına dair iddialar yer aldı. Bu durum tehdidin yalnızca teorik olmadığını, gerçek saldırılarda da aktif şekilde kullanıldığını gösteriyor.
YENİ GÜVENLİK AÇIKLARI DA ORTAYA ÇIKTI
Tartışmalar devam ederken cPanel, WHM üzerinde etkili olan üç yeni güvenlik açığını daha yamaladığını duyurdu. CVE-2026-29201, CVE-2026-29202 ve CVE-2026-29203 olarak takip edilen bu açıkların; rastgele dosya okuma, uzaktan Perl kod çalıştırma, ayrıcalık yükseltme ve hizmet reddi saldırıları gibi ciddi riskler taşıdığı belirtildi.
Özellikle CVE-2026-29202 açığı, kimliği doğrulanmış bir hesabın sistem kullanıcısı adına rastgele Perl kodu çalıştırabilmesine imkan tanıyabiliyor. Bir diğer açık ise sembolik bağlantılar üzerinden dosya izinlerinin değiştirilmesine yol açarak hizmet reddi veya olası yetki yükseltme riskini beraberinde getiriyor.
Şirket, bu açıkların giderildiği güncel sürümlerin yayınlandığını açıklarken kullanıcıların sistemlerini mümkün olan en kısa sürede güncellemeleri gerektiğini vurguladı.
PEKİ ŞİMDİ NE YAPILMALI?
Uzmanlar, cPanel kullanan sistemlerde acil güncelleme yapılmasını öneriyor. Bunun yanında:
Güçlü ve benzersiz şifreler kullanılması,
İki faktörlü doğrulamanın aktif edilmesi,Yönetim portlarının dış erişime kapatılması,
Sunucu loglarının düzenli kontrol edilmesi,
önerilen temel güvenlik önlemleri arasında yer alıyor.
SON OLARAK
Uzmanlara göre bu olayın en önemli tarafı, küçük gibi görünen bir güvenlik açığının aslında ne kadar büyük sonuçlar doğurabileceğini göstermesi oldu. Çünkü bugün internette kullanılan birçok web sitesi, e-posta sistemi ve hosting altyapısı cPanel gibi paneller üzerinden yönetiliyor.
Bu yüzden sistem sahiplerinin güncellemeleri ertelememesi, güçlü şifreler kullanması, iki faktörlü doğrulamayı aktif etmesi ve sunucu loglarını düzenli kontrol etmesi büyük önem taşıyor. Özellikle yönetim panellerinin internet erişimini sınırlandırmak ve düzenli güvenlik testleri yapmak, olası saldırıların önüne geçmek için kritik adımlar arasında gösteriliyor.
Kısacası uzmanlar, bu tür saldırıların giderek daha profesyonel hale geldiğini ve artık “bana bir şey olmaz” yaklaşımının ciddi risk oluşturabileceğini söylüyor.
