• 30-04-2026, 13:36:14
    #1
    Hala güncelleme yapmayan varsa, güncelleme yapmasını acilen söylemek istiyorum. Açık, DNSonly gibi sadece DNS-Database rolleri de dahil tüm WHM/cPanel çözümlerinde ve WPSquared'de geçerli.

    CVE-2026-41940 - CVSS 9.8 KRİTİK

    Elimizdeki verilere göre, 0. gün açığı olan ve hackerlar tarafından Şubat'tan beri sömürülen bir açık. 2083/2087 gibi portları dışarı açık olan/ağ erişimi olan, yama yapılmamış sürümde çalışan her ana WHM sürümü bu açıktan etkileniyor.

    Açık, oturum(session) sistemine satır sonu karakteri(CRLF) müdahalesi ile çalışıyor. Oturum dosyaları, cpsrvd isimli bir yazılımsal servis tarafından diskte saklanır. Saldırgan, tarayıcı taraflı doğrulama için olan çereze "rn" karakterlerini ekler ve oturum dosyasına bu karakterler temizlenmeden-kontrol edilmeden yazılır. Eklenen karakterler, oturum sürecinde önemli bazı parametreleri atlayabilmeyi sağlar. Bu oturum dosyasına root olmak için gerekli parametreleri de ileten saldırgan, oturumu tekrar tetiklediğinde ise en üst yetki ile istediği komutları tetikleyebilir.

    Bunun sunucunuzda yaşanıp yaşanmadığını anlamak için hazırlanan scriptler, şifre ve token(jeton-bilet) ile alakalı iki parametrenin aynı anda aldığı değerleri inceler. (token_denied=1 ve oturum methodunda badpass değeri)

    Açığın kritikliği kadar, tüm internet üzerindeki portların sürekli taranması; güncelleme yapmayan herkesin hedef olmasına ve veri kaybı-fidye-veri sızıntısı yaşamasına olasılık sağlıyor.
    Önlem olarak; eğer zorunda değilseniz her zaman yönetim portlarını güvenlik duvarı ile filtrelemeyi-belirli IP'lere izin vermeyi, otomatik güncellemeleri ASLA kapatmamanızı-aktif etmenizi ve güncel kural setlerine sahip IDS-IPS güvenlik duvarı çözümleri kullanmanızı tavsiye ederim.

    Yama yapmak için ROOT yetkisi ile aşağıdaki komut, sistemi son sürüme güncelleyecektir; eğer güncelleme engelleyici bir durumunuz varsa(update blockers veya farklı uyumluluk sorunları) cPanel/WHM servisini devre dışı bırakmanız veya çok katı firewall kuralı ile dış erişime kapatmanız çok kritik.

    /scripts/upcp --force
    Bu kod, cPanel/WHM'i son sürüme zorunlu yükseltecektir.
    /scripts/restartsrv_cpsrvd
    Bu kod sürüm güncellemesi sonrasında, cPanel/WHM servislerini yeniden başlatacaktır.

    Bu açıktan etkilendiğini düşünen kişiler için, cPanel ve diğer dış güvenlik şirketleri kontrol için betikler hazırlamıştır, kullanabilir veya sistem yöneticilerinden destek alabilirsiniz.

    Faydalı Linkler(İngilizce):
    cPanel Güvenlik Duyurusu
    Rapid7 Bülteni
    Watchtowr Bülteni
    NIST CVE-2026-41940 CVSS 9.8 Açıklaması
  • 30-04-2026, 13:47:17
    #2
    Hocam elinize sağlık faydalı paylaşım olmuş.