CVE-2025-30007 in HestiaCPinformation

Résumé

par VulDB • 10/07/2026

HestiaCP avant la version 1.9.5 contient une vulnérabilité d'injection de commande OS authentifiée qui permet aux utilisateurs authentifiés à faibles privilèges d'exécuter des commandes arbitraires en tant que root en injectant un caractère apostrophe dans les types d'enregistrements DNS non validés. Les attaquants peuvent exploiter une validation insuffisante des entrées dans is_dns_record_format_valid() combinée avec l'analyse unsafe basée sur eval dans update_domain_zone() pour fermer prématurément la chaîne d'affectation de variable et obtenir une exécution complète du code root sur l'hôte sous-jacent en une seule étape de création d'enregistrement DNS.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Réserver

13/03/2025

Divulgation

10/07/2026

Modérer

accepté

Entrée

VDB-377576

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!