Katalog CVE

CVE-2026-41237

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.47%

Percentyl 37 - wyżej niż 37% wszystkich znanych CVE

Streszczenie

Froxlor 2.3.6 i wcześniejsze zawiera podatność w walidacji rekordów DNS LOC i TLSA. Wyrażenie regularne dla LOC akceptuje znaki nowej linii, a TLSA z matchingType=0 nie ogranicza długości danych szesnastkowych, co może prowadzić do wstrzyknięcia złośliwych danych. Wersja 2.3.7 zawiera poprawkę.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia niebezpiecznych danych do stref DNS, co może prowadzić do naruszenia integralności konfiguracji serwera i potencjalnego przejęcia kontroli nad usługami DNS.

Rekomendacja

Należy niezwłocznie zaktualizować Froxlor do wersji 2.3.7 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Froxlor is open source server administration software. In version 2.3.6 and earlier, the LOC record regex uses `\s+` which matches newlines (allowing embedded newlines to pass), TLSA `matchingType=0` has no upper bound on hex data length, and all validators return raw input without zone-file escaping. Version 2.3.7 contains an updated patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS