CVE-2026-41236
WysokieCVSS 8.8Streszczenie
Froxlor to oprogramowanie do zarządzania serwerami, które w wersji 2.3.6 zawiera lukę polegającą na śledzeniu dowiązań symbolicznych w ścieżce synchronizacji kluczy SSH, co może prowadzić do uzyskania dostępu do konta root przez atakującego.
Ocena ryzyka
Atakujący, który ma kontrolę nad kontem klienta, może uzyskać dostęp do konta root, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do wersji 2.3.7, która zawiera poprawkę eliminującą tę lukę.
Oryginalny opis (angielski, źródło NVD)
Froxlor is open source server administration software. Version 2.3.6 contains a symlink-following flaw in the root-owned SSH key synchronization path used for customer FTP users. The provisioning code appends public keys to `~/.ssh/authorized_keys` under a customer-controlled home directory without verifying that the target path is not a symbolic link. If an attacker controls a shell-enabled customer account and can modify files inside the assigned home directory, the attacker can replace `~/.ssh/authorized_keys` with a symlink to `/root/.ssh/authorized_keys`. When Froxlor's privileged cron task later synchronizes SSH keys, it appends the attacker-supplied key into root's authorized key file, resulting in root SSH access. Version 2.3.7 contains a patch.

