CVE-2026-26279
CriticalSummary
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.4 wystąpił błąd w kodzie walidacji wejścia, który całkowicie wyłączał sprawdzanie formatu adresu e-mail dla wszystkich pól ustawień zadeklarowanych jako typ e-mail. To umożliwia uwierzytelnionemu administratorowi zapisanie dowolnych ciągów w ustawieniu panel.adminmail.
Risk Assessment
Wartość ta jest później łączona w poleceniu powłoki wykonywanym jako root przez zadanie cron, co prowadzi do zdalnego wykonania kodu na poziomie root. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do wersji 2.3.4 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt ustawień i monitorować systemy w celu wykrycia potencjalnych nadużyć.
Original NVD description (English source)
Froxlor is open source server administration software. Prior to 2.3.4, a typo in Froxlor's input validation code (== instead of =) completely disables email format checking for all settings fields declared as email type. This allows an authenticated admin to store arbitrary strings in the panel.adminmail setting. This value is later concatenated into a shell command executed as root by a cron job, where the pipe character | is explicitly whitelisted. The result is full root-level Remote Code Execution. This vulnerability is fixed in 2.3.4.

