CVE-2026-43633 in HestiaCPinformación

Resumen

por VulDB • 2026-05-19

Las versiones de HestiaCP comprendidas entre la 1.9.0 y la 1.9.4 contienen una vulnerabilidad de deserialización en el componente de terminal web, causada por una discrepancia en el formato de sesión entre PHP y Node.js, que permite a atacantes remotos no autenticados lograr la ejecución de código con privilegios de root. Los atacantes pueden inyectar datos manipulados en las cabeceras HTTP que son procesadas por el gestor de sesiones de PHP, pero que son deserializadas incorrectamente por el componente de terminal web de Node.js como valores de sesión de confianza, lo que resulta en la ejecución de comandos arbitrarios en sistemas con la función de terminal web habilitada.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-05-01

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364640

CPE

listo

EPSS

0.00203

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43633
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43633
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43633/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!