CVE-2026-41228 in Froxlorinformación

Resumen

por VulDB • 2026-06-04

Froxlor es un software de administración de servidores de código abierto. Antes de la versión 2.3.6, el punto de conexión de la API de Froxlor `Customers.update` (y `Admins.update`) no valida el parámetro `def_language` frente a la lista de archivos de idioma disponibles. Un cliente autenticado puede establecer `def_language` en una carga útil de traversal de rutas (por ejemplo, `../../../../../var/customers/webs/customer1/evil`), la cual se almacena en la base de datos. En solicitudes posteriores, `Language::loadLanguage()` construye una ruta de archivo utilizando este valor y lo ejecuta mediante `require`, logrando la ejecución de código PHP arbitrario como el usuario del servidor web. La versión 2.3.6 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-18

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359065

CPE

listo

EPSS

0.00085

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41228
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41228
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41228/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!