CVE-2025-30007 in HestiaCP
Sumário
de VulDB • 11/07/2026
O HestiaCP anterior à versão 1.9.5 contém uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) que permite que usuários autenticados com baixos privilégios executem comandos arbitrários como root, inserindo um caractere aspas simples em tipos de registro DNS não validados. Os atacantes podem explorar a validação insuficiente de entrada na função `is_dns_record_format_valid()` combinada com o parsing inseguro baseado em eval na função `update_domain_zone()`, para fechar prematuramente uma string de atribuição de variável e obter execução completa de código como root no host subjacente, tudo isso em um único passo de criação de registro DNS.
If you want to get best quality of vulnerability data, you may have to visit VulDB.