CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41228

Critical
Published: Translated: NVD NIST

Summary

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, punkt końcowy API `Customers.update` (oraz `Admins.update`) nie weryfikuje parametru `def_language` względem dostępnych plików językowych, co pozwala uwierzytelnionemu użytkownikowi na wstrzyknięcie ładunku do przejścia ścieżki.

Risk Assessment

Umożliwia to wykonanie dowolnego kodu PHP jako użytkownik serwera WWW, co stanowi poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.

Recommendation

Zaleca się aktualizację Froxlor do wersji 2.3.6 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji danych wejściowych.

Original NVD description (English source)

Froxlor is open source server administration software. Prior to version 2.3.6, the Froxlor API endpoint `Customers.update` (and `Admins.update`) does not validate the `def_language` parameter against the list of available language files. An authenticated customer can set `def_language` to a path traversal payload (e.g., `../../../../../var/customers/webs/customer1/evil`), which is stored in the database. On subsequent requests, `Language::loadLanguage()` constructs a file path using this value and executes it via `require`, achieving arbitrary PHP code execution as the web server user. Version 2.3.6 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS