VestCP - CVE-2026-43633

Date de publication :

Date de mise à jour :

HestiaCP permet d’administrer un serveur via une interface web : 
 - Gestion de sites web (Apache / Nginx) 
- Gestion des emails (boîtes, domaines) 
- Gestion des bases de données (MySQL / PostgreSQL) 
- Gestion des utilisateurs et des accès 
- Gestion DNS, FTP, SSL

L'attaque consiste à une injection de données malicieuses via headers HTTP.

Les conditions d'exploitations :
- Service web terminal activé
- Accès HTTP au panneau de configuration web

 

Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

CVE-2026-43633

[Score CVSS v3.1 : 10.0]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Élévation de privilèges
•   Contournement de la politique de sécurité
•   Atteinte à la confidentialité des données
•   Atteinte à l'intégrité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-502 : Deserialization of Untrusted Data

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Contournement provisoire

La mesure temporaire consiste à:

  • Désactiver le web terminal

  • Restreindre l'accès au panel via vpn ou des ip whitelist

Solutions ou recommandations

Effectuer la mise à jour du produit vers la version :1.9.4

Liens