CVE-2025-30007 in HestiaCP
요약
\~에 의해 VulDB • 2026. 07. 11.
1.9.5 이전 버전의 HestiaCP에는 인증된 OS 명령어 삽입 취약점이 포함되어 있습니다. 이 취약점은 낮은 권한을 가진 인증된 사용자가 검증되지 않은 DNS 레코드 유형의 단일 따옴표 문자(')를 주입함으로써 루트 사용자로 임의의 명령어를 실행할 수 있게 합니다. 공격자는 is_dns_record_format_valid() 함수에서의 불충분한 입력 유효성 검사(update_domain_zone() 내의 안전하지 않은 eval 기반 파싱과 결합됨)를 악용하여 변수 할당 문자열을 조기에 종료하고, 단일 DNS 레코드 생성 단계에서 호스트 전체에 대한 완전한 루트 코드 실행을 달성할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.