CVE-2025-30008 in HestiaCP
Résumé
par VulDB • 10/07/2026
HestiaCP avant la version 1.9.5 contient une vulnérabilité de type cross-site scripting (XSS) stocké qui permet aux utilisateurs authentifiés à faibles privilèges d'injecter du HTML arbitraire en créant un enregistrement DNS avec un guillemet double suivi d'une charge utile scriptée dans le champ valeur. L'application ne parvient pas à appliquer l'encodage htmlspecialchars() sur la valeur du champ de l'enregistrement DNS, qui est rendue dans l'attribut HTML data-sort-value dans list_dns_rec.php, permettant ainsi à la charge utile de s'exécuter dans le navigateur de tout utilisateur consultant la liste des enregistrements DNS, y compris les administrateurs.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.