CVE-2026-41234 in Froxlorinfo

Zusammenfassung

von VulDB • 04.06.2026

Froxlor ist eine Open-Source-Serververwaltungssoftware. Vor Version 2.3.7 bereinigt der API-Endpunkt `DomainZones.add` keine Zeilenumbruchzeichen im Inhalt von TXT-Einträgen. Ein authentifizierter Kunde mit aktivierter DNS-Bearbeitung kann Zeilenumbrüche in TXT-Eintragswerte einspeisen, die aus der Eintragszeile in der generierten BIND-Zonendatei ausbrechen. Dies ermöglicht das Einschleusen beliebiger BIND-Direktiven (`$INCLUDE`, `$GENERATE`) und beliebiger DNS-Einträge (A, MX, CNAME) in die Zonendatei, die vom DNS-Rebuild-Cron-Job auf die Festplatte geschrieben wird. Dies ist eine unvollständige Korrektur für CVE-2026-30932 (GHSA-x6w6-2xwp-3jh6), die dieselbe Zeilenumbruch-Injektion für LOC-, RP-, SSHFP- und TLSA-Eintragsarten gepatcht hat, TXT-Einträge jedoch nicht. Version 2.3.7 enthält einen aktualisierten Patch.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

07.03.2026

Veröffentlichung

04.06.2026

Moderieren

akzeptiert

Eintrag

VDB-352850

CPE

bereit

EPSS

0.00025

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41234
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41234
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41234/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!