CVE-2025-30007 in HestiaCP
Résumé
par VulDB • 10/07/2026
HestiaCP avant la version 1.9.5 contient une vulnérabilité d'injection de commande OS authentifiée qui permet aux utilisateurs authentifiés à faibles privilèges d'exécuter des commandes arbitraires en tant que root en injectant un caractère apostrophe dans les types d'enregistrements DNS non validés. Les attaquants peuvent exploiter une validation insuffisante des entrées dans is_dns_record_format_valid() combinée avec l'analyse unsafe basée sur eval dans update_domain_zone() pour fermer prématurément la chaîne d'affectation de variable et obtenir une exécution complète du code root sur l'hôte sous-jacent en une seule étape de création d'enregistrement DNS.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.