CVE-2025-30008 in HestiaCP
Tóm tắt
Bởi VulDB • 10/07/2026
HestiaCP trước phiên bản 1.9.5 chứa một lỗ hổng cross-site scripting (XSS) lưu trữ cho phép người dùng có quyền thấp đã xác thực chèn HTML tùy ý bằng cách tạo bản ghi DNS với dấu ngoặc kép theo sau là payload script trong trường giá trị. Ứng dụng không áp dụng mã hóa htmlspecialchars() cho trường giá trị của bản ghi DNS được hiển thị vào thuộc tính HTML data-sort-value trong list_dns_rec.php, cho phép payload thực thi trên trình duyệt của bất kỳ người dùng nào xem danh sách bản ghi DNS, bao gồm cả quản trị viên.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.