Katalog CVE

CVE-2026-41235

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

Froxlor to oprogramowanie do zarządzania serwerem, które w wersji 2.3.6 pozwala administratorom na konfigurację listy zatwierdzonych powłok dla użytkowników FTP. Jednakże, obsługa kont FTP po stronie serwera nie egzekwuje tej listy podczas przetwarzania żądań dodawania lub edytowania, co pozwala uwierzytelnionym użytkownikom na przypisanie dowolnej powłoki.

Ocena ryzyka

Atakujący może uzyskać dostęp do powłoki systemowej, co prowadzi do poważnych zagrożeń dla bezpieczeństwa systemu. W przypadku wykorzystania domyślnej integracji `nssextrausers`, złośliwa powłoka może zostać wprowadzona do bazy danych kont systemowych.

Rekomendacja

Zaleca się aktualizację do wersji 2.3.7, która naprawia tę podatność. Dodatkowo, warto zweryfikować konfigurację powłok dostępnych dla użytkowników FTP.

Oryginalny opis (angielski, źródło NVD)

Froxlor is open source server administration software. Version 2.3.6 lets administrators configure `system.available_shells` as the approved shell list that customers may assign to FTP users. However, the server-side FTP account handlers do not enforce that whitelist when processing add or edit requests. As a result, an authenticated customer with shell delegation enabled can submit an arbitrary shell such as `/bin/bash` even when the panel UI only offers more restricted choices. In deployments that use the default `nssextrausers` integration, the attacker-controlled shell is then propagated into the system account database, leading to real host shell access. Version 2.3.7 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS