Krytyczna luka deserializacji w HestiaCP umożliwiająca zdalne wykonanie kodu na poziomie root

Krytyczna luka deserializacji w HestiaCP 1.9.0-1.9.4 pozwala na zdalne wykonanie kodu z uprawnieniami root. Zalecane szybkie działania zabezpieczające.
CVE-2026-43633CVSS 9.5Web

Krytyczna luka deserializacji w HestiaCP umożliwiająca zdalne wykonanie kodu na poziomie root

Krytyczna luka deserializacji w HestiaCP 1.9.0-1.9.4 pozwala na zdalne wykonanie kodu z uprawnieniami root. Zalecane szybkie działania zabezpieczające.

CVSS
9.5 CRITICAL
EPSS
60.81%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach HestiaCP od 1.9.0 do 1.9.4 wykryto krytyczną lukę deserializacji w komponencie web terminala, wynikającą z niezgodności formatu sesji między PHP a Node.js. Luka pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu z uprawnieniami root poprzez wstrzyknięcie spreparowanych danych w nagłówkach HTTP.

Wpływ biznesowy

Eksploatacja tej luki umożliwia atakującym przejęcie pełnej kontroli nad systemem z włączoną funkcją web terminala, co może prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych oraz przerw w działaniu usług. Operatorzy infrastruktury powinni traktować tę podatność jako krytyczną i priorytetowo podejść do jej eliminacji.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy HestiaCP oraz ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do funkcji web terminala, monitorować logi pod kątem podejrzanej aktywności i stosować zasady minimalizacji ekspozycji systemu na zewnętrzne ataki.

Źródła