CVE-2026-43634

Nome do Software Vulnerável e Versões Afetadas HestiaCP versões 1.2.0 a 1.9.4

Descrição Um problema de spoofing de IP permite que atacantes remotos não autenticados ignorem controles de segurança de autenticação. Isso ocorre quando o sistema aceita um endereço IP arbitrário fornecido no cabeçalho HTTP 'CF-Connecting-IP' sem verificar se a requisição realmente originou-se da rede Cloudflare. A exploração permite que atacantes contornem a proteção contra força bruta do fail2ban, ignorem listas de permissão de IP por usuário e poluam os logs de auditoria de autenticação simulando endereços IP confiáveis.

Recomendações Atualize o HestiaCP para uma versão posterior à 1.9.4. Como mitigação temporária, restrinja o acesso ao painel de controle ou configure o servidor para aceitar cabeçalhos 'CF-Connecting-IP' apenas de intervalos de IP verificados da Cloudflare.