CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-26279

Critical
Published: Translated: NVD NIST

Summary

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.4 wystąpił błąd w kodzie walidacji wejścia, który całkowicie wyłączał sprawdzanie formatu adresu e-mail dla wszystkich pól ustawień zadeklarowanych jako typ e-mail. To umożliwia uwierzytelnionemu administratorowi zapisanie dowolnych ciągów w ustawieniu panel.adminmail.

Risk Assessment

Wartość ta jest później łączona w poleceniu powłoki wykonywanym jako root przez zadanie cron, co prowadzi do zdalnego wykonania kodu na poziomie root. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację do wersji 2.3.4 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt ustawień i monitorować systemy w celu wykrycia potencjalnych nadużyć.

Original NVD description (English source)

Froxlor is open source server administration software. Prior to 2.3.4, a typo in Froxlor's input validation code (== instead of =) completely disables email format checking for all settings fields declared as email type. This allows an authenticated admin to store arbitrary strings in the panel.adminmail setting. This value is later concatenated into a shell command executed as root by a cron job, where the pipe character | is explicitly whitelisted. The result is full root-level Remote Code Execution. This vulnerability is fixed in 2.3.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS