CVE-2025-30007 in HestiaCPinformação

Sumário

de VulDB • 11/07/2026

O HestiaCP anterior à versão 1.9.5 contém uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) que permite que usuários autenticados com baixos privilégios executem comandos arbitrários como root, inserindo um caractere aspas simples em tipos de registro DNS não validados. Os atacantes podem explorar a validação insuficiente de entrada na função `is_dns_record_format_valid()` combinada com o parsing inseguro baseado em eval na função `update_domain_zone()`, para fechar prematuramente uma string de atribuição de variável e obter execução completa de código como root no host subjacente, tudo isso em um único passo de criação de registro DNS.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

VulnCheck

Reservar

13/03/2025

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377576

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!