CVE-2025-30007 in HestiaCP
الملخص
بحسب VulDB • 11/07/2026
تحتوي HestiaCP قبل الإصدار 1.9.5 على ثغرة حقن أوامر نظام التشغيل (OS command injection) تتطلب مصادقة، تتيح للمستخدمين المصادق عليهم ذوي الصلاحيات المنخفضة تنفيذ أوامر عشوائية بصفتهم root عن طريق إدراج حرف الفاصلة العليا المفردة (' ) في أنواع سجلات DNS غير المُتحقق من صحتها. يمكن للمهاجمين استغلال نقص التحقق المدخلات في الدالة `is_dns_record_format_valid()` مقترناً بتحليل غير آمن يعتمد على eval داخل الدالة `update_domain_zone()` لإغلاق سلسلة تعيين المتغيرات بشكل مبكر، مما يتيح تحقيق تنفيذ كامل للكود بصفتهم root على المضيف الأساسي خلال خطوة واحدة لإنشاء سجل DNS.
If you want to get best quality of vulnerability data, you may have to visit VulDB.