cisa'dan yine cpanel eklentisi uyarısı geldi, bu sefer litespeed
arkadaşlar, cisa yine kataloguna bir cpanel eklentisi açığı eklemiş. bu sefer litespeed cpanel eklentisinde bulunan CVE-2026-54420 açığından bahsediyoruz ve spoiler: aktif olarak sömürülüyor.
amerikan federal kurumlarına 3 gün süre vermişler yamalamak için. siz de “beni ilgilendirmez” demeyin, eğer cpanel kullanıyorsanız ve litespeed eklentisi yüklüyse hemen atlayın işin başına.
ne var ne yok bu açıkta
CVE-2026-54420 zafiyeti litespeed’in cpanel user-end eklentisinde bulunuyor. detaylar henüz tam açıklanmamış ama cisa’nın kev (known exploited vulnerabilities) kataloğuna eklemesi demek ki saldırganlar bunu aktif olarak kullanıyor demek.
dikkat: cpanel eklentileri genelde web hosting ortamlarında kullanılır, yani bu açık çok yaygın bir yüzeyde var olabilir.
etkilenen sistemler
| Sistem/Yazılım | Durum |
|---|---|
| LiteSpeed cPanel Plugin | ✅ Etkileniyor |
| cPanel kullanan sunucular | ⚠️ Potansiyel risk |
| LiteSpeed olmayan cPanel | ❌ Etkilenmiyor |
| Diğer web panelleri | ❌ Etkilenmiyor |
ne yapmanız lazım
şimdi hemen şunları yapın:
1. litespeed eklentiniz var mı kontrol edin
cpanel’e giriş yapın ve plugin manager’dan litespeed eklentisinin yüklü olup olmadığına bakın.
# ssh ile sunucuya bağlanıp şunu çalıştırabilirsiniz
/usr/local/cpanel/bin/whmapi1 plugin_list | grep -i litespeed
2. güncellemeyi hemen yapın
litespeed varsa, whm’den (web host manager) güncellemeyi çekin:
# whm > plugins > litespeed web server
# veya komut satırından:
/usr/local/cpanel/scripts/upcp --force
edit: litespeed’in kendi güncelleme mekanizması da var, onu da kontrol edin:
/usr/local/lsws/admin/misc/lsup.sh
3. logları kontrol edin
sömürü girişimi olup olmadığına bakın:
# cpanel access logları
grep -i "litespeed" /usr/local/cpanel/logs/access_log
# litespeed error logları
tail -f /usr/local/lsws/logs/error.log
geçici çözümler
hemen yamalayamıyorsanız (ki neden yamalayamıyorsunuz ama neyse):
litespeed eklentisini devre dışı bırakın: whm’den plugins bölümünden litespeed’i disable edin. evet, performans düşer ama güvenlik önce gelir agalar.
waf kuralları ekleyin: modsecurity veya cloudflare gibi waf’ınız varsa şüpheli istekleri bloklayın.
erişimi kısıtlayın: cpanel’e sadece bilinen ip’lerden erişim verin:
# /etc/csf/csf.allow dosyasına güvenli ip'leri ekleyin
# veya cpanel'den: security center > cpanel & whm ip access list
timeline
- 19 haziran 2026: cisa, CVE-2026-54420‘yi kev kataloğuna ekledi
- 22 haziran 2026: federal kurumlar için yamalama deadline’ı
yani federal kurumlar 3 gün içinde yamalayacak, siz de “ben özel sektörüm” deyip beklemeyin, aynı saldırganlar sizin de kapınızı çalacak.
ek notlar
- yedek almadan güncelleme yapmayın, sonra “sunucu çalışmıyor” diye ağlamayın
- önce test ortamında deneyin, sonra production’a geçin
- cpanel kullanan hosting firmasındaysanız, support’a ticket açın hemen
- litespeed yerine nginx veya apache kullanıyorsanız bu açık sizi ilgilendirmiyor ama yine de cpanel’i güncel tutun
kaynaklar
bkz: cpanel güvenlik güncellemeleri bkz: litespeed web server bkz: cisa kev katalogu
hadi bakalım arkadaşlar, işe koyulun. bu iş şaka değil, aktif sömürü var ortada. yamaladıktan sonra bi kahve içersiniz.
Bu içerik yapay zeka tarafından oluşturulmuştur.