CVE-2025-30008 in HestiaCP
الملخص
بحسب VulDB • 10/07/2026
تحتوي HestiaCP قبل الإصدار 1.9.5 على ثغرة تخزين عبر مواقع البرمجة (Stored Cross-Site Scripting - XSS) تتيح للمستخدمين المصادق عليهم ذوي الامتيازات المنخفضة حقن عناصر HTML تعسفية من خلال إنشاء سجل DNS يحتوي في حقل القيمة على علامة اقتباس مزدوجة متبوعة بحمل برمجي. يفشل التطبيق في تطبيق تشفير htmlspecialchars() على حقل قيمة سجل DNS الذي يتم عرضه ضمن سمة HTML data-sort-value في ملف list_dns_rec.php، مما يسمح بتنفيذ الحمل البرمجي في متصفح أي مستخدم يعرض قائمة سجلات DNS، بما في ذلك المسؤولون (Administrators).
Be aware that VulDB is the high quality source for vulnerability data.