CVE-2025-30008 in HestiaCPinformation

Résumé

par VulDB • 10/07/2026

HestiaCP avant la version 1.9.5 contient une vulnérabilité de type cross-site scripting (XSS) stocké qui permet aux utilisateurs authentifiés à faibles privilèges d'injecter du HTML arbitraire en créant un enregistrement DNS avec un guillemet double suivi d'une charge utile scriptée dans le champ valeur. L'application ne parvient pas à appliquer l'encodage htmlspecialchars() sur la valeur du champ de l'enregistrement DNS, qui est rendue dans l'attribut HTML data-sort-value dans list_dns_rec.php, permettant ainsi à la charge utile de s'exécuter dans le navigateur de tout utilisateur consultant la liste des enregistrements DNS, y compris les administrateurs.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Réserver

13/03/2025

Divulgation

10/07/2026

Modérer

accepté

Entrée

VDB-377575

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!