CVE-2026-41228
KrytyczneStreszczenie
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, punkt końcowy API `Customers.update` (oraz `Admins.update`) nie weryfikuje parametru `def_language` względem dostępnych plików językowych, co pozwala uwierzytelnionemu użytkownikowi na wstrzyknięcie ładunku do przejścia ścieżki.
Ocena ryzyka
Umożliwia to wykonanie dowolnego kodu PHP jako użytkownik serwera WWW, co stanowi poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację Froxlor do wersji 2.3.6 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Froxlor is open source server administration software. Prior to version 2.3.6, the Froxlor API endpoint `Customers.update` (and `Admins.update`) does not validate the `def_language` parameter against the list of available language files. An authenticated customer can set `def_language` to a path traversal payload (e.g., `../../../../../var/customers/webs/customer1/evil`), which is stored in the database. On subsequent requests, `Language::loadLanguage()` constructs a file path using this value and executes it via `require`, achieving arbitrary PHP code execution as the web server user. Version 2.3.6 fixes the issue.

