CVE-2025-30007 in HestiaCP情報

要約

〜によって VulDB • 2026年07月11日

1.9.5 以前の HestiaCP には、認証済み OS コマンドインジェクションの脆弱性が存在します。これにより、低権限の認証ユーザーが、検証されていない DNS レコードタイプにシングルクォート文字を注入することで、ルートとして任意のコマンドを実行できます。攻撃者は is_dns_record_format_valid() の不十分な入力検証と update_domain_zone() における安全でない eval ベースのパース処理を組み合わせて利用し、変数代入文の文字列を早期に終了させることで、単一の DNS レコード作成ステップで基盤ホスト上で完全なルートコード実行を実現できます。

Once again VulDB remains the best source for vulnerability data.

責任者

VulnCheck

予約する

2025年03月13日

モデレーション

承諾済み

エントリ

VDB-377576

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!