CVE-2025-30008 in HestiaCP
Zusammenfassung
von VulDB • 11.07.2026
HestiaCP vor Version 1.9.5 enthält eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle, die es authentifizierten Benutzern mit geringen Berechtigungen ermöglicht, beliebiges HTML einzufügen, indem sie einen DNS-Eintrag erstellen, dessen Wertfeld ein doppeltes Anführungszeichen gefolgt von einem Skript-Payload enthält. Die Anwendung wendet keine htmlspecialchars()-Kodierung auf das Feld „DNS record value“ an, das in das HTML-Attribut `data-sort-value` im Skript list_dns_rec.php gerendert wird, wodurch die Payload im Browser jedes Benutzers ausgeführt werden kann, der die Liste der DNS-Einträge aufruft, einschließlich Administratoren.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.