Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-43633 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-19 |
| Producent | HestiaCP |
| Produkt | HestiaCP |
| CVSS Score | 10.0 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
HestiaCP w wersjach od 1.9.0 do 1.9.4 zawiera podatność deserializacji w komponencie web terminal, spowodowaną niezgodnością formatu sesji między PHP a Node.js, która umożliwia nieuwierzytelnionym, zdalnym atakującym wykonanie kodu z uprawnieniami root. Atakujący mogą wstrzyknąć spreparowane dane do nagłówków HTTP, które są przetwarzane przez mechanizm obsługi sesji PHP, lecz błędnie deserializowane przez komponent web terminal w Node.js jako zaufane wartości sesji, co skutkuje wykonaniem dowolnych poleceń na podatnych systemach…
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu HestiaCP firmy HestiaCP. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
