Nisan 30, 2026
Okuma süresi: 11 dakika
28 Nisan 2026 tarihi, paylaşımlı hosting dünyasında uzun süre konuşulacak bir gün olarak tarihe geçti. cPanel resmi güvenlik bülteniyle birlikte tüm desteklenen sürümleri etkileyen kritik bir açık duyurdu. Birkaç saat içinde Namecheap, KnownHost, HostPapa, InMotion Hosting ve hosting.com gibi devler, müşterilerinin cPanel ve WHM panellerine erişimini ağ seviyesinde tamamen kapatmak zorunda kaldı. Sebep tek bir CVE numarasıydı: CVE-2026-41940.
CVSS skoru 9.8 olan bu açık, internetin yaklaşık 70 milyon domainini yöneten bir altyapıda saldırganların hiçbir şifre girmeden yönetici yetkisiyle sunucuya girebilmesine olanak tanıyordu. Üstelik açığın 23 Şubat 2026 tarihinden beri sessizce sömürüldüğü ortaya çıktı. Yani saldırganlar tam iki aydır sahnenin arkasındaydı.
CVE-2026-41940 sıradan bir login zafiyeti değil. Açığın kaynağı cPanel servis daemon süreci olan cpsrvd içinde, oturum dosyalarının diske yazılma şeklinde gizli. Normal akış şu şekilde işliyor: Kullanıcı login sayfasına yanlış bir bilgiyle istek attığında bile cpsrvd, daha kimlik doğrulaması yapılmadan diske bir oturum dosyası yazıyor. Saldırgan da işte tam bu noktayı kullanıyor.
Sunucu, yanıt olarak whostmgrsession adında bir cookie döndürüyor. Bu cookie içinde oturum adı düz metin halinde yer alıyor. Saldırgan bu cookie değerini manipüle ederek, normalde uygulanması gereken şifreleme adımını atlatabiliyor. Bir sonraki adımda HTTP Basic Authorization başlığı içine ham CRLF karakterleri yani satır başı ve satır sonu işaretleri yerleştirerek, oturum dosyasına istediği parametreleri yazdırabiliyor.
Sonuç şu: Saldırgan kendine ait sahte ama geçerli görünen bir oturum dosyası oluşturup, bu oturumu yeniden yükletiyor ve sistem tarafından root yetkili WHM kullanıcısı olarak kabul ediliyor. Hiç şifre, hiç iki faktörlü doğrulama, hiç beklenti yok. Sadece doğru zamanda doğru karakterlerin başlığa enjekte edilmesi yeterli.
watchTowr Labs araştırmacılarının yaptığı detaylı incelemede, açığın kök sebebi daha da utanç verici bir şekilde gün yüzüne çıktı. cPanel kod tabanında filter_sessiondata isimli bir temizleme fonksiyonu zaten mevcuttu. Bu fonksiyon, oturum verilerine zararlı karakter enjekte edilmesini engellemek için yazılmıştı. Ancak fonksiyon saveSession içinde otomatik olarak çağrılmıyordu. Her geliştiricinin manuel olarak bu fonksiyonu çağırması gerekiyordu ve cpsrvd içindeki kritik bir kod yolunda bu çağrı unutulmuştu.
Yani açığın kaynağı egzotik bir kriptografik hata ya da donanım seviyesinde bir mimari sorun değil. Klasik bir insan hatası. Tek bir fonksiyon çağrısının atlanması, milyonlarca domaini ve onların ardındaki tüm verileri saldırganlara açık hale getirdi.
cPanel resmi açıklamasında 11.40.x sonrası tüm desteklenen sürümlerin etkilendiğini belirtti. Yamalanan sürümler şu şekilde:
Sunucu yöneticileri için cPanel resmi olarak /scripts/upcp --force komutunun çalıştırılmasını öneriyor. Bu komut, sistem güncel olduğunu düşünse bile güncelleme sürecini zorla tetikliyor. Ömrünü tamamlamış ve artık desteklenmeyen sürümleri çalıştıran sunucular ise güvenlik güncellemesi alamıyor. Bu sistemler için tek çözüm desteklenen bir sürüme yükseltme yapmak.
Olayın en endişe verici yönü, açığın kamuya duyurulmasından çok önce zaten sömürülüyor olması. Yönetilen cPanel hizmeti sunan KnownHost, kendi forumunda yaptığı açıklamayla 23 Şubat 2026 tarihinden itibaren bu açığın aktif olarak vahşi doğada kullanıldığını doğruladı. Yani saldırganlar yaklaşık 65 gün boyunca cPanel sunucularına yönetici olarak girip çıkmış olabilir.
Bir hosting sektörü kaynağı, açığın cPanel firmasına 28 Nisan tarihinden yaklaşık iki hafta önce sorumlu açıklama prensibiyle bildirildiğini, ancak cPanel cephesinden gelen ilk yanıtın olumsuz olduğunu öne sürdü. Hosting.com firması da olay iletişiminde açığın "sorumluca açıklandığını" doğruladı. Bu detay, yamanın gecikmesi sırasında saldırganların sömürüye devam etme fırsatı bulduğunu işaret ediyor.
Hosting devlerinin yaman tepkisi de olayın ciddiyetini gösteriyor. Açıklamadan saatler sonra Namecheap, KnownHost, HostPapa, InMotion Hosting ve hosting.com müşterilerine bilgi vererek 2083 ve 2087 portlarına erişimi tamamen kapattı. Bu portlar, cPanel ve WHM panellerinin internetten erişildiği standart portlar. Yani milyonlarca site sahibi birkaç saat boyunca panellerine, web mail kutularına, web diske ve hatta SSL bağlantılarına ulaşamadı. Bu çapta bir blokaj alelade alınacak bir karar değil. Tehdit gerçekten panel mimarisinin tam ortasındaydı.
Namecheap durum güncellemelerine göre yamanın tüm sunuculara uygulanması yaklaşık 6 ila 7 saat sürdü. Reseller ve Stellar Business sunucuları öncelikli olarak güncellendi, ardından kalan paylaşımlı hosting altyapısı tamamlandı.
29 Nisan 2026 tarihinde watchTowr Labs araştırmacısı Sina Kheirkhah, açığın detaylı teknik analizini ve çalışan bir kavram kanıtı yani PoC kodunu yayınladı. Aynı gün GitHub üzerinde de bağımsız araştırmacılar tarafından public exploit kodları paylaşılmaya başlandı. Rapid7 da kendi güvenlik bülteninde açığın CRLF injection kaynaklı olduğunu doğruladı.
Public PoC yayınlanması, açığın artık hedefli saldırgan gruplardan çıkıp script seviyesindeki kullanıcıların eline geçmesi anlamına geliyor. Shodan üzerinde yapılan aramalar internete açık yaklaşık 1.5 milyon cPanel örneği olduğunu gösteriyor. Yani potansiyel saldırı yüzeyi devasa ve önümüzdeki haftalarda kitlesel tarama dalgaları bekleniyor.
CVE-2026-41940 sömürüldüğünde saldırgan WHM yöneticisi yetkisine sahip oluyor. Bu yetki seviyesinde yapılabilecekler oldukça geniş bir yelpazeye yayılıyor:
Asıl tehlike şurada: Yama yalnızca gelecekteki saldırıları engelliyor. 23 Şubat ile 28 Nisan arasında saldırgan sunucuya girmiş ve arka kapı bırakmışsa, sürüm güncellemesi bu arka kapıyı temizlemiyor. Saldırı sonrası adli analiz yapılmadan sunucuların tamamen güvende olduğu söylenemez.
Eğer cPanel ile yönetilen bir hosting hesabınız varsa ya da kendi VPS sunucunuzda cPanel çalıştırıyorsanız, şu adımlar son derece önemli:
WHM panelinizde yer alan sürüm bilgisini kontrol edin. Yukarıda listelenen yamalı sürümlerden daha eski bir sürüm kullanıyorsanız hemen güncelleme yapın. Komut satırı erişiminiz varsa /scripts/upcp --force komutu ile güncellemeyi zorla tetikleyebilirsiniz.
Paylaşımlı hosting kullanıyorsanız sağlayıcınıza CVE-2026-41940 yamasının uygulanıp uygulanmadığını sorun. Büyük firmalar genellikle kendi durum sayfalarında bu bilgiyi paylaştı. Daha küçük yerel firmalarda ise yamanın uygulanması gecikebilir.
23 Şubat 2026 ile 28 Nisan 2026 arasındaki tarih aralığında WHM ve cPanel erişim loglarını inceleyin. Tanımadığınız IP adreslerinden gelen başarılı oturum açma kayıtları, açıklayamadığınız hesap oluşturma işlemleri, beklenmedik konfigürasyon değişiklikleri şüpheli kabul edilmeli.
Etkilenen dönem boyunca sunucunuzda kullanılmış olabilecek tüm cPanel şifrelerini, API token bilgilerini, FTP şifrelerini ve SSH anahtarlarını yenileyin. Veritabanı kullanıcı parolaları da değiştirilmeli.
WordPress, Joomla ya da özel PHP siteleri çalıştırıyorsanız wp-content/uploads, wp-includes, tmp gibi dizinlerde alakasız PHP dosyaları, gizlenmiş shell uploadları, manipüle edilmiş .htaccess kayıtları olup olmadığını kontrol edin. Beklenmedik cron job tanımları ve sistem servisleri de denetlenmeli.
Uzun vadeli koruma için cPanel ve WHM portlarına yani 2082, 2083, 2086, 2087, 2095, 2096, 2077 ve 2078 portlarına erişimi yalnızca bilinen yönetici IP aralıklarıyla sınırlandırın. Böylece gelecekte benzer açıklar çıksa bile internetten doğrudan saldırı yapılamaz.
Bu sorunun cevabı net: Hayır. CVE-2026-41940 yalnızca cPanel ve WHM ile WP Squared ürünlerinde yer alan bir kod hatası. Plesk farklı bir kontrol paneli ürünü olduğu için doğrudan etkilenmedi. Plesk tabanlı sunucu yönetenler bu açık özelinde rahat olabilir. Ancak genel güvenlik prensipleri her zaman geçerli; Plesk panelinin de güncel sürümde tutulması, login portuna erişimin IP filtresiyle korunması ve fail2ban benzeri brute force engelleyicilerin aktif olması önerilir.
Bu olay, paylaşımlı hosting sektörünün yapısal olarak ne kadar kırılgan olduğunu bir kez daha gösterdi. Tek bir kontrol paneli yazılımındaki tek bir kod hatası, milyonlarca domaini aynı anda risk altına soktu. Hosting tedarik zincirindeki tüm halkalar yani kontrol paneli üreticisi, hosting sağlayıcısı ve son kullanıcı, aynı anda etkilendi.
Site sahipleri açısından çıkarılacak en önemli ders şu: Hosting sağlayıcınızın güvenlik tepkisi ne kadar hızlı? Şirket kritik bir açık karşısında saatler içinde yama uyguluyor mu, yoksa günlerce bekletiyor mu? Yedeklemeleriniz aynı sunucuda mı duruyor, yoksa ayrı bir altyapıda mı saklanıyor? Bu soruların cevabı, bir sonraki zero-day geldiğinde ayakta kalıp kalmayacağınızı belirleyecek.
Sunucu yöneticileri açısından ise çıkış noktası net: Public PoC yayınlandığı için kitlesel tarama dalgaları kaçınılmaz. Önümüzdeki günlerde 2083 ve 2087 portlarına yapılacak otomatik saldırı denemeleri katlanarak artacak. Yamasız tek bir cPanel sunucusu bırakmamak en kritik öncelik.
cPanel firması 28 Nisan 2026 tarihinde yayınladığı güvenlik bülteniyle açığı kamuya duyurdu. CVE numarası ise 29 Nisan 2026 günü atandı.
CVSS v3.1 ölçeğinde 9.8 puanla kritik kategoride yer alıyor. Bu puan ölçeğin neredeyse en üst seviyesinde ve uzaktan, kimlik doğrulamasız sömürülebilen açıklar için kullanılır.
Hayır. Yama yalnızca gelecekteki saldırıları engelliyor. Açık 23 Şubat 2026 tarihinden beri sömürüldüğü için sunucunuza zaten girilmiş ve arka kapı bırakılmış olabilir. Bu yüzden kimlik bilgilerinin sıfırlanması ve dosya sistemi denetimi de yamalama kadar önemli.
Hayır. Açık yalnızca cPanel ve WHM ürünlerini etkiliyor. Plesk farklı bir yazılım olduğu için CVE-2026-41940 kapsamı dışında.
cpsrvd süreci, başarısız bir login denemesinde bile diske oturum dosyası yazıyor. Saldırgan, HTTP Basic Authorization başlığına ham CRLF karakterleri enjekte ederek bu oturum dosyasına kendi parametrelerini yazdırabiliyor. Sonra oturumu yeniden yükleterek root yetkili WHM kullanıcısı olarak sisteme girebiliyor.
Evet. watchTowr Labs 29 Nisan 2026 tarihinde detaylı teknik analiz ve PoC kodu yayınladı. Aynı gün GitHub üzerinde de bağımsız repolar açıldı. Bu yüzden kitlesel sömürü dalgası kapıda.
Namecheap, KnownHost, HostPapa, InMotion Hosting ve hosting.com firmaları 28 Nisan 2026 tarihinde 2083 ve 2087 portlarını ağ seviyesinde bloklayarak yama gelene kadar erişimi kapattı.
CVE-2026-41940, bir kontrol paneli yazılımında bulunan tek bir eksik fonksiyon çağrısının nasıl 70 milyon domaini aynı anda riske atabileceğinin bir kanıtı. Açığın iki ay boyunca sessiz sömürülmesi, hosting sektöründeki sorumlu açıklama süreçlerinin ne kadar kritik olduğunu gösteriyor. Sunucu yöneticileri için artık iki temel görev var: Yamayı acilen uygulamak ve geçmiş dönem loglarını dikkatlice incelemek.
Önümüzdeki haftalarda public exploit kullanan kitlesel saldırı dalgalarının etkisini görmeye başlayacağız. Yamasız tek bir cPanel sunucusu bırakmamak, hem hosting sağlayıcılarının hem de bireysel sunucu yöneticilerinin önündeki en acil görev olarak duruyor.