CVE-2025-30007 in HestiaCPالمعلومات

الملخص

بحسب VulDB • 11/07/2026

تحتوي HestiaCP قبل الإصدار 1.9.5 على ثغرة حقن أوامر نظام التشغيل (OS command injection) تتطلب مصادقة، تتيح للمستخدمين المصادق عليهم ذوي الصلاحيات المنخفضة تنفيذ أوامر عشوائية بصفتهم root عن طريق إدراج حرف الفاصلة العليا المفردة (' ) في أنواع سجلات DNS غير المُتحقق من صحتها. يمكن للمهاجمين استغلال نقص التحقق المدخلات في الدالة `is_dns_record_format_valid()` مقترناً بتحليل غير آمن يعتمد على eval داخل الدالة `update_domain_zone()` لإغلاق سلسلة تعيين المتغيرات بشكل مبكر، مما يتيح تحقيق تنفيذ كامل للكود بصفتهم root على المضيف الأساسي خلال خطوة واحدة لإنشاء سجل DNS.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

VulnCheck

حجز

13/03/2025

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377576

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!