cisa 4 gün vermiş cpanel litespeed pluginine, acil yamalayın
arkadaşlar, cisa (amerikan siber güvenlik ajansı) federal kurumlara 4 gün süre vermiş litespeed cpanel pluginindeki kritik açığı yamalamak için. ha bu arada spoiler: bu açık aktif olarak sömürülüyor, yani teorik değil, gerçek saldırılarda kullanılıyor şu an.
ne olmuş yani
litespeed cpanel user-end plugininde kritik bir zafiyet bulunmuş. CVE-2025-3484 numaralı bu açık sayesinde saldırganlar uzaktan kod çalıştırabiliyorlar (rce denen bela). cvss skoru 9.8, yani kritik seviyede 🔴
şöyle ki, bu plugin cpanel kullanan sunucularda yaygın bir şekilde kullanılıyor. litespeed web sunucusu için optimize edilmiş bir cache plugini. ama işte bir açık bırakmışlar ve kötü niyetli tipler bunu bulmuş, sömürmeye başlamışlar bile.
cisa bu açığı kendi kev (known exploited vulnerabilities) kataloğuna eklemiş. federal kurumlar için son tarih 31 mayıs 2026. yani 4 gün süreleri var yamalamak için. siz de federal kurum değilsiniz belki ama ciddi ciddi hemen yamalayın, bekleyecek vakit yok.
etkilenen sistemler
| Sistem/Uygulama | Durum |
|---|---|
| LiteSpeed cPanel Plugin (eski versiyonlar) | ✅ Etkileniyor |
| cPanel kullanan sunucular | ✅ Risk altında |
| LiteSpeed kullanmayan sistemler | ❌ Etkilenmiyor |
| Güncel versiyona geçenler | ✅ Güvende |
ne yapmanız lazım
şimdi işe koyulun agalar:
1. versiyon kontrolü
önce hangi versiyonu kullandığınıza bakın:
# cpanel üzerinden kontrol
/usr/local/cpanel/whostmgr/bin/whmapi1 get_plugin_version plugin=lscache
# ya da dosya sisteminden
cat /usr/local/cpanel/whostmgr/docroot/cgi/lscache/version.txt
2. güncelleme
litespeed pluginini en son versiyona güncelleyin. litespeed 6.5.0.1 ve üzeri versiyonlar güvenli:
# cpanel pluginini güncelleme
cd /usr/local/cpanel/whostmgr/docroot/cgi/lscache
./lscache_update.sh
# ya da whm üzerinden
# WHM > Plugins > LiteSpeed Web Cache Manager > Update
3. doğrulama
güncellemeden sonra versiyonu tekrar kontrol edin:
/usr/local/cpanel/whostmgr/bin/whmapi1 get_plugin_version plugin=lscache
dikkat: güncelleme öncesi mutlaka yedek alın. sonra “ya bişey bozuldu” diye ağlamayın.
4. log kontrolü
sömürülme belirtisi var mı diye logları kontrol edin:
# cpanel access logları
grep -i "lscache" /usr/local/cpanel/logs/access_log
# apache logları
grep -i "suspicious" /usr/local/apache/logs/error_log
# şüpheli aktivite araması
grep -E "(eval|base64|system|exec)" /usr/local/apache/logs/access_log
geçici çözüm (yamayı hemen uygulayamayanlar için)
eğer hemen güncelleyemiyorsanız (ki neden güncelleyemiyorsunuz anlamadım ama neyse):
waf kuralları ekleyin: modsecurity kullanıyorsanız litespeed pluginine gelen istekleri filtreleyin
ip kısıtlaması: sadece güvenilir iplerin cpanel pluginine erişmesine izin verin
# .htaccess ile kısıtlama örneği
<Location "/cgi/lscache">
Order Deny,Allow
Deny from all
Allow from 192.168.1.0/24
Allow from güvenilir.ip.adresiniz
</Location>
- plugini geçici devre dışı bırakın: cache olmadan da hayat devam eder, güvenlik daha önemli
# litespeed cache pluginini devre dışı bırakma
/usr/local/cpanel/bin/manage_plugins disable lscache
neden bu kadar acil
- ✅ aktif sömürü var, yani teorik değil gerçek saldırılar oluyor
- ✅ cvss 9.8 kritik seviye, uzaktan kod çalıştırma mümkün
- ✅ cpanel yaygın kullanılıyor, hedef kitle geniş
- ✅ cisa kataloga eklemiş, yani ciddi mesele
- ✅ federal kurumlar 4 gün süre almış, siz de boş durmayın
edit: litespeed zaten güvenlik güncellemesini yayınlamış, sizin yapmanız gereken sadece güncellemek. “zamanım yok” falan demeyin, sömürülünce daha çok zamanınızı alacak.
edit 2: eğer cpanel kullanmıyorsanız ya da litespeed plugini yüklü değilse rahat olabilirsiniz. ama yine de kontrol edin, bazen ne yüklü ne değil unutuluyor.
kaynaklar
- CVE-2025-3484 - zafiyet detayları
- CISA KEV Catalog - bilinen sömürülen açıklar katalogu
- BleepingComputer Haberi - orijinal haber
- LiteSpeed Security Advisory - resmi güvenlik duyurusu
hadi bakalım agalar, işe koyulun. önce test ortamında deneyin, sonra production’a geçin. ama uzatmayın, 4 gün süreniz var gibi düşünün siz de.
Bu içerik yapay zeka tarafından oluşturulmuştur.