7/24 Destek
SSS
 Kontrol Paneli
Hesap Bakiyesi:    
cPanel'in Haftalık Güvenlik Maratonu: 5 Açıklık Kapatıldı, Ama Biri Zaten Kırıldı

cPanel'in Haftalık Güvenlik Maratonu: 5 Açıklık Kapatıldı, Ama Biri Zaten Kırıldı

May 14, 2026 cpanel security cve patches web hosting vulnerability management server security system administration

cPanel'in Haftalık Güvenlik Operasyonu: 5 CVE Yamalandı, Ancak Biri Çoktan Bozuk

Son zamanlarda cPanel yönetiyorsanız, bir şeyin devamlı tekrarlandığını fark etmiş olmalısınız: güvenlik güncellemeleri sanki hiç durmuyor. Ve bundan memnun olacak türde bir sürü değil—daha çok aralıksız çalan bir alarm gibi.

13 Mayıs'ta cPanel ve WHM, çeşitli zafiyetlerini kapatmak için beş ayrı CVE için yamaları yayınladı. Ama işte burada çok ilginç (ve endişe verici) bir şey ortaya çıktı: saatler içinde güvenlik araştırmacısı Shubham Shah, bu yamalardan en az birinin aslında sorunu çözmediğini kamuya duyurdu. Yaşananları ve bunların barındırma altyapınız için ne anlama geldiğini detaylı olarak inceleyelim.

Beş Zafiyetin Fotoğrafı: Kötü Rüyaların Yapısı

13 Mayıs yayınında yer alan beş farklı zafiyetin tamamı, CVSS puanı 8.6'ya kadar Yüksek seviyede tehlike oluşturuyor. Bunları tek tek açıklayalım:

CVE-2026-29205 (Eksik Düzeltme)

Bu, sorunun ana başlığı. Kimlik doğrulaması olmayan saldırganlar, cpdavd ek indirme uç noktaları aracılığıyla dosya okuyabiliyor. Yol filtrelemesinin ve izin yönetiminin kusurlu olmasından dolayı bu mümkün. CVSS: 8.6. Püf noktası ise yamadan sonra da sisteminiz tehlike altında kalıyor. Yamanın tam olarak sorunu çözmediği ortaya çıktı.

CVE-2026-29206 (sqloptimizer'da SQL Enjeksiyonu)

sqloptimizer aracında gizli kalmış ve kök seviyesinde çalışan SQL enjeksiyonu zafiyeti. Yavaş sorgu günlüğü etkinken ortaya çıkıyor. Kullanıcı etkileşimi gereklidir ama hasar potansiyeli yüksektir. CVSS: 8.1.

CVE-2026-32991 (Team Manager'da Yetki Yükseltme)

cPanel'in Team Manager özelliğini kullanan çok kiracılı ortamlarda sorun var: takım üyeleri kendilerini takım sahibi statüsüne yükseltebiliyor. CVSS: 7.1. cPanel hesapları kiralıyorsanız, bu özellikle sizi yakından ilgilendirir.

CVE-2026-32992 (DNS Cluster'da SSL Devre Dışı)

Birisi DNS Cluster sisteminde SSL doğrulamasını kapattı. Yani içinizdeki bir ağ üzerinden ortadaki adam saldırısı yapabilen biri kimlik bilgilerini ele geçirebilir. CVSS: 8.2. Güvenlik ekiplerinin uykusunu kaçıracak türde bir açık.

CVE-2026-32993 (CRLF Enjeksiyonu)

/unprotected/nova_error uç noktasında kimlik doğrulamasız CRLF enjeksiyonu zafiyeti. Bu zafiyetin aracılığıyla başlık manipülasyonu yapılabiliyor. Nisan ayında .sorry fidye yazılım kampanyasında kullanılan aynı zafiyetler sınıfında. CVSS: 8.3.

Asıl Sorun: Hızla Yamalamak

cPanel personeli Reddit'te, sistemlerinde dönen açıkları kapatmak için şimdi "haftalık güvenlik yayını" ritmiyle çalıştıklarını belirtti. Tarihler bunu destekliyor: 28 Nisan, 8 Mayıs, 13 Mayıs—ve bundan sonra da kısa sürede bir yayın daha bekleniyor.

Bu hızlı üst üste gelen yayınlar size bir şey söylüyor: WebPros acil müdahale modunda. Açıkları bulup çıkarmak için olabildiğince hızlı yamaları yayınlıyorlar. Bu açıkları görmezden gelmekten daha iyi, ancak aynı zamanda her yamanın yoğun baskı altında yapılıp test edildiği anlamına geliyor. CVE-2026-29205 de gösteriyor ki, hız bazen doğruluğun bedelini ödüyor.

Hemen Yapmanız Gerekenler

  1. Yamaların çalıştığını varsaymayın. 13 Mayıs güncellemelerini alın, ama CVE-2026-29205'in ek dikkat gerektirdiğini ve düzgün bir düzeltmenin yolda olduğunu bilin.

  2. CVE-2026-29205'e öncelik verin. Kimlik doğrulamasız dosya okuma açığı aktif olarak saldırılara açık. cPanel örneklerinizi kuşkulu erişim desenleri açısından izleyin, özellikle /dav uç noktalarına yönelik.

  3. Tüm ürün serilerini güncelleyin. cPanel'in WordPress barındırma platformu olan WP Squared kullanıyorsanız, o da kapsanmış. 13 Mayıs yamaları WebPros ekosisteminin tamamına uygulanabiliyor.

  4. Sürüm serinizi kontrol edin. Yamalı sürümler 11.86'dan 11.136'ya kadar uzanıyor. CloudLinux 6'da çalışıyorsanız, önce cl6110 güncelleme seviyesine geçmeniz gerekecek.

  5. Takip patch'ini bekleyin. CVE-2026-29205 için gerçek bir düzeltme geliyor. Çıktığında, bunu kritik öncelik olarak görün.

Daha Geniş Resim

Bu, izole bir olay değil. Gerçek baskı altında olan bir barındırma platformunu gözlemliyoruz—sorunları sistematik olarak buluyor ve inceleme altındayken düzeltmeye çalışıyor. Aslında bu, güvenliği ele almanın sorumlu yolu—ama yöneticiler için güncellemeleri takip etmek çok yorucu.

Nisan ayındaki .sorry fidye kampanyası, bu açıklar düzeltilmeyince ne olduğunu gösterdi. Mayıs kaskadı, yığın halinde bulunduğunda ne olduğunu gösteriyor. Ne senaryo da ideal değil, ama en azından cPanel yamalandırma tarihçesi hakkında şeffaf davranıyor.

Barındırma altyapınızı güncelleyin, sistemlerinizi yakından izleyin ve bu CVE'leri—çözüldüğü söylenen olanları bile—görmezden gelmeyin.

Read in other languages:

RU BG EL CS UZ SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN