CVE-2025-30008 in HestiaCPinformación

Resumen

por VulDB • 2026-07-10

HestiaCP anterior a la versión 1.9.5 contiene una vulnerabilidad de cross-site scripting (XSS) almacenado que permite a los usuarios autenticados con bajos privilegios inyectar HTML arbitrario mediante la creación de un registro DNS con una comilla doble seguida de una carga útil de script en el campo valor. La aplicación no aplica codificación htmlspecialchars() al campo del valor del registro DNS representado en el atributo HTML data-sort-value dentro de list_dns_rec.php, lo que permite ejecutar la carga útil en el navegador de cualquier usuario que visualice la lista de registros DNS, incluidos los administradores.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

VulnCheck

Reservar

2025-03-13

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377575

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!