Критична вразливість десеріалізації в HestiaCP дозволяє віддалене виконання коду з правами root

Вразливість десеріалізації в HestiaCP 1.9.0-1.9.4 дозволяє віддаленим зловмисникам виконувати код з правами root через веб-термінал.
CVE-2026-43633CVSS 9.5Web

Критична вразливість десеріалізації в HestiaCP дозволяє віддалене виконання коду з правами root

Вразливість десеріалізації в HestiaCP 1.9.0-1.9.4 дозволяє віддаленим зловмисникам виконувати код з правами root через веб-термінал.

CVSS
9.5 CRITICAL
EPSS
60.81%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях HestiaCP з 1.9.0 по 1.9.4 виявлено вразливість десеріалізації в компоненті веб-терміналу через невідповідність формату сесії між PHP і Node.js. Це дозволяє неавторизованим віддаленим зловмисникам виконувати довільні команди з правами root.

Бізнес-вплив

Вразливість може призвести до повного компрометації серверів, на яких увімкнено веб-термінал HestiaCP, дозволяючи зловмисникам отримати контроль над системою. Це створює серйозні ризики для безпеки інфраструктури, включно з викраденням даних та порушенням роботи сервісів.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від постачальника HestiaCP та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до веб-терміналу, переглянути журнали на предмет підозрілої активності та впровадити додаткові заходи контролю доступу. Пріоритезуйте виправлення цієї вразливості через її критичний рівень.

Джерела