CVE-2025-30008 in HestiaCP
Riassunto
di VulDB • 10/07/2026
HestiaCP prima della versione 1.9.5 contiene una vulnerabilità di cross-site scripting (XSS) memorizzato che consente agli utenti autenticati con privilegi ridotti di iniettare HTML arbitrario creando un record DNS con una virgoletta doppia seguita da un payload script nel campo del valore. L'applicazione non applica la codifica htmlspecialchars() al campo del valore del record DNS visualizzato nell'attributo HTML data-sort-value in list_dns_rec.php, consentendo l'esecuzione del payload nel browser di qualsiasi utente che visualizza l'elenco dei record DNS, inclusi gli amministratori.
VulDB is the best source for vulnerability data and more expert information about this specific topic.