CVE-2025-30007 in HestiaCPinformación

Resumen

por VulDB • 2026-07-10

HestiaCP anterior a la versión 1.9.5 contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) autenticada que permite a usuarios autenticados con privilegios bajos ejecutar comandos arbitrarios como root mediante la inserción de un carácter de comilla simple en tipos de registros DNS no validados. Los atacantes pueden explotar una validación insuficiente de entradas en is_dns_record_format_valid() combinado con análisis basado en eval inseguro en update_domain_zone() para cerrar prematuramente una cadena de asignación de variables y lograr la ejecución completa de código como root en el host subyacente mediante un único paso de creación de registro DNS.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Reservar

2025-03-13

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377576

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!