cPanel, WHM ve WP Squared yazılımlarında, siber tehdit aktörlerinin sistemin oturum doğrulama mekanizmasını atlatarak hedef sunucularda en üst düzeyde (root) yetki elde etmesine olanak tanıyan, CVE-2026-41940 kodlu ve "Kritik" risk seviyesine sahip bir Kimlik Doğrulama Atlatma (Authentication Bypass) zafiyetinin bulunduğu istihbar olunmuştur.
Söz konusu zafiyetin, siber tehdit aktörleri tarafından sıfırıncı gün (zero-day) olarak aktif bir şekilde istismar edildiği ve sistemlerde en üst düzeyde (root) yetkisiz erişime olanak tanıdığı müşahede edilmiştir. Saldırganların, sunucu üzerinde kalıcılık sağlamak, yanal hareket (lateral movement) gerçekleştirmek ve fidye yazılımı (ransomware) gibi zararlı yazılımlar bulaştırmak amacıyla bu açıklığı kullandığı değerlendirilmektedir.
Alınması Gereken Önlemler ve Çözüm Önerileri:
Kurumunuz bünyesinde barındırılan veya hizmet alınan cPanel, WHM ve WP Squared uygulamalarının güvenliğinin tesisi amacıyla;
- Sistemlerin gecikmeksizin üretici tarafından yayınlanan güncel ve güvenli sürümlere (11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, 11.136.0.5 veya daha yeni) yükseltilmesi,
- Güncelleme imkanı bulunmayan veya test süreçleri devam eden sistemlerde; 2082, 2083, 2086, 2087, 2095, 2096 ve ilgili zafiyetli uygulamaların kullandığı özel; yönetim ve Webmail portlarına yönelik erişimlerin, güvenlik duvarı (Firewall/ACL) kuralları ile yalnızca güvenilir/yetkili IP adresleriyle sınırlandırılması,
- Yurt dışı erişim ihtiyacı bulunmayan sistemlerin ivedilikle uluslararası trafiğe kapatılması,
- Sistem, uygulama ve ağ erişim loglarının (özellikle giriş/çıkış trafiğinin) geriye dönük olarak incelenmesi; olağandışı "root" erişimleri veya potansiyel güvenlik ihlali emaresi taşıyan anormal aktivitelerin analiz edilmesi gerekmektedir.
IoC Kontrolü:
Aşağıdaki bulguların birlikte dikkate alınması sonucunda ilgili zafiyetin istismar edilmiş olabileceği değerlendirilmektedir.
- /var/cpanel/sessions/raw/ ve /var/cpanel/sessions/cache/ dizinlerinde:
- Dosya adlarının : (iki nokta) ile başlaması
- Dosya içeriklerinde aşağıdaki ifadelerin (alt alta ve okunabilir şekilde) bulunması:
- hasroot=1
- authtype=pass
- user=root
- /usr/local/cpanel/logs/access_log dosyasında aynı IP adresinden kısa süre içerisinde aşağıdaki isteklerin yapılması:
- GET /openid_connect/cpanelid (Başlangıç/Keşif)
- POST /login/?login_only=1 (Zararlı satırların enjekte edildiği an)
- GET /json-api/set_display_language (Zararlı satırların aktif edildiği/tetiklendiği an)
- GET /scripts2/listaccts (Root yetkisiyle yapılan ilk işlem - Hesapları listeleme)
Kaynaklar:
- https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940