Katalog CVE

CVE-2026-41229

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, funkcja `PhpHelper::parseArrayToString()` zapisuje wartości tekstowe w pojedynczych cudzysłowach PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem. To umożliwia atakującemu wstrzyknięcie dowolnego kodu PHP, który będzie wykonywany jako użytkownik serwera WWW.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ pozwala na zdalne wykonanie kodu PHP, co może prowadzić do przejęcia kontroli nad serwerem. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych działań w kontekście serwera.

Rekomendacja

Zaleca się aktualizację oprogramowania Froxlor do wersji 2.3.6 lub nowszej, aby załatać tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień oraz monitorować logi serwera w celu wykrycia potencjalnych prób ataku.

Oryginalny opis (angielski, źródło NVD)

Froxlor is open source server administration software. Prior to version 2.3.6, `PhpHelper::parseArrayToString()` writes string values into single-quoted PHP string literals without escaping single quotes. When an admin with `change_serversettings` permission adds or updates a MySQL server via the API, the `privileged_user` parameter (which has no input validation) is written unescaped into `lib/userdata.inc.php`. Since this file is `require`d on every request via `Database::getDB()`, an attacker can inject arbitrary PHP code that executes as the web server user on every subsequent page load. Version 2.3.6 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS