Katalog CVE

CVE-2026-26279

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.4 wystąpił błąd w kodzie walidacji wejścia, który całkowicie wyłączał sprawdzanie formatu adresu e-mail dla wszystkich pól ustawień zadeklarowanych jako typ e-mail. To umożliwia uwierzytelnionemu administratorowi zapisanie dowolnych ciągów w ustawieniu panel.adminmail.

Ocena ryzyka

Wartość ta jest później łączona w poleceniu powłoki wykonywanym jako root przez zadanie cron, co prowadzi do zdalnego wykonania kodu na poziomie root. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 2.3.4 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt ustawień i monitorować systemy w celu wykrycia potencjalnych nadużyć.

Oryginalny opis (angielski, źródło NVD)

Froxlor is open source server administration software. Prior to 2.3.4, a typo in Froxlor's input validation code (== instead of =) completely disables email format checking for all settings fields declared as email type. This allows an authenticated admin to store arbitrary strings in the panel.adminmail setting. This value is later concatenated into a shell command executed as root by a cron job, where the pipe character | is explicitly whitelisted. The result is full root-level Remote Code Execution. This vulnerability is fixed in 2.3.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS