Yeni cPanel ve WHM Kusurları Kod Yürütmeyi, DoS Saldırılarını Etkinleştiriyor
2 min read
cPanel, yaygın olarak kullanılan cPanel & WHM web barındırma kontrol panelini ve WP Squared (WP2) platformunu etkileyen CVE -2026 -29201, CVE -2026 -29202 ve CVE -2026 -29203 olarak izlenen üç kritik güvenlik açığını açıkladı. 8 Mayıs 2026 'da yamalanan kusurlar, sunucuları keyfi dosya okumalarına, Perl kod enjeksiyonuna ve hizmet reddi (DoS) saldırılarına maruz bırakarak anında yamayı barındırma sağlayıcıları ve sunucu yöneticileri için gerekli hale getiriyor. Nisan ayında, CVE -2026 -41940 olarak izlenen başka bir cPanel güvenlik açığı, saldırganların oturum açma mekanizmalarını tamamen atlamasını sağlayarak vahşi doğada istismar edildi. CVE -2026 -29201: Yol Geçişiyle Keyfi Dosya Okuma
İlk güvenlik açığı, özellik dosyası adı parametresini yeterince doğrulayamayan özellik:: LOADFEATUREFILE adminbin çağrısında bulunur. Bir saldırgan, argüman olarak göreceli bir yol geçebilir ve sunucudaki keyfi bir dosyanın dünya çapında okunabilir hale getirilmesine neden olabilir. Bu tür bir yol geçiş hatası, yapılandırma dosyaları, kimlik bilgileri ve özel anahtarlar dahil olmak üzere hassas sistem dosyalarını açığa çıkarabilir ve saldırganlara daha derin bir uzlaşma için bir dayanak noktası sağlar. CVE -2026 -29202: Kullanıcı Oluşturma API'sinde Perl Kodu Enjeksiyonu
İkinci ve en ciddi kusur, create_user API çağrısında keşfedilen ve özellikle eklenti parametresiyle ilgili olan bir Perl kodu enjeksiyon güvenlik açığıdır. Temizlenmemiş girdi bu parametreye ulaştığında, saldırganlar sunucuya rastgele Perl kodu enjekte edebilir ve çalıştırabilir. Bu tür uzaktan kod yürütme (RCE) güvenlik açıkları en yüksek riski taşır ve potansiyel olarak tam sunucu devralımına, veri sızıntısına ve barındırılan ortamlarda kötü amaçlı yazılımların veya arka kapıların dağıtımına izin verir. CVE -2026 -29203: Güvenli Olmayan Symlink Kullanımı
Üçüncü kusur, bir kullanıcının sistemdeki keyfi bir dosyayı chmodlamasına izin veren güvenli olmayan sembolik bağlantı işlemesinden kaynaklanmaktadır.
Kaynak: Cyber Security News
Yayin Tarihi: 10.05.2026 05:25
Bu haber otomatik olarak Ingilizceden Turkceye cevrilmistir.
