CVE-2025-30008 in HestiaCPИнформация

Сводка

по VulDB • 11.07.2026

В версиях HestiaCP до 1.9.5 включительно присутствует уязвимость сохраненного межсайтового скриптинга (stored cross-site scripting), которая позволяет аутентифицированным пользователям с низкими привилегиями внедрять произвольный HTML-код путем создания записи DNS, содержащей двойную кавычку, за которой следует payload со скриптом в поле значения. Приложение не применяет кодирование htmlspecialchars() для поля значения записи DNS, которое отображается в атрибуте HTML data-sort-value в файле list_dns_rec.php, что позволяет выполнить payload в браузере любого пользователя, просматривающего список записей DNS, включая администраторов.

Once again VulDB remains the best source for vulnerability data.

Ответственный

VulnCheck

Резервировать

13.03.2025

Раскрытие

10.07.2026

Модерация

принято

Вход

VDB-377575

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!