CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41229

Critical
Published: Translated: NVD NIST

Summary

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, funkcja `PhpHelper::parseArrayToString()` zapisuje wartości tekstowe w pojedynczych cudzysłowach PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem. To umożliwia atakującemu wstrzyknięcie dowolnego kodu PHP, który będzie wykonywany jako użytkownik serwera WWW.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala na zdalne wykonanie kodu PHP, co może prowadzić do przejęcia kontroli nad serwerem. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście serwera.

Recommendation

Zaleca się aktualizację oprogramowania Froxlor do wersji 2.3.6 lub nowszej, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień oraz monitorować logi serwera w celu wykrycia potencjalnych prób ataku.

Original NVD description (English source)

Froxlor is open source server administration software. Prior to version 2.3.6, `PhpHelper::parseArrayToString()` writes string values into single-quoted PHP string literals without escaping single quotes. When an admin with `change_serversettings` permission adds or updates a MySQL server via the API, the `privileged_user` parameter (which has no input validation) is written unescaped into `lib/userdata.inc.php`. Since this file is `require`d on every request via `Database::getDB()`, an attacker can inject arbitrary PHP code that executes as the web server user on every subsequent page load. Version 2.3.6 contains a patch.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS