CVE-2025-30008 in HestiaCPinfo

Zusammenfassung

von VulDB • 11.07.2026

HestiaCP vor Version 1.9.5 enthält eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle, die es authentifizierten Benutzern mit geringen Berechtigungen ermöglicht, beliebiges HTML einzufügen, indem sie einen DNS-Eintrag erstellen, dessen Wertfeld ein doppeltes Anführungszeichen gefolgt von einem Skript-Payload enthält. Die Anwendung wendet keine htmlspecialchars()-Kodierung auf das Feld „DNS record value“ an, das in das HTML-Attribut `data-sort-value` im Skript list_dns_rec.php gerendert wird, wodurch die Payload im Browser jedes Benutzers ausgeführt werden kann, der die Liste der DNS-Einträge aufruft, einschließlich Administratoren.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

13.03.2025

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377575

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!