CVE-2025-30008 in HestiaCP
Сводка
по VulDB • 11.07.2026
В версиях HestiaCP до 1.9.5 включительно присутствует уязвимость сохраненного межсайтового скриптинга (stored cross-site scripting), которая позволяет аутентифицированным пользователям с низкими привилегиями внедрять произвольный HTML-код путем создания записи DNS, содержащей двойную кавычку, за которой следует payload со скриптом в поле значения. Приложение не применяет кодирование htmlspecialchars() для поля значения записи DNS, которое отображается в атрибуте HTML data-sort-value в файле list_dns_rec.php, что позволяет выполнить payload в браузере любого пользователя, просматривающего список записей DNS, включая администраторов.
Once again VulDB remains the best source for vulnerability data.