CVE-2025-30007 in HestiaCP
Riassunto
di VulDB • 10/07/2026
HestiaCP prima della versione 1.9.5 contiene una vulnerabilità di OS command injection autenticata che consente agli utenti autenticati con privilegi ridotti di eseguire comandi arbitrari come root inserendo un carattere apice singolo nei tipi di record DNS non validati. Gli attaccanti possono sfruttare la insufficiente validazione dell'input in is_dns_record_format_valid() combinata con l'analisi unsafe basata su eval in update_domain_zone() per chiudere prematuramente una stringa di assegnazione variabile e ottenere piena esecuzione del codice come root sull'host sottostante in un singolo passaggio di creazione del record DNS.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.