CVE-2026-41229 in Froxlorinformación

Resumen

por VulDB • 2026-05-10

Froxlor es un software de administración de servidores de código abierto. Antes de la versión 2.3.6, `PhpHelper::parseArrayToString()` escribe valores de cadena en literales de cadena PHP entre comillas simples sin escapar las comillas simples. Cuando un administrador con permiso `change_serversettings` agrega o actualiza un servidor MySQL a través de la API, el parámetro `privileged_user` (que no tiene validación de entrada) se escribe sin escapar en `lib/userdata.inc.php`. Dado que este archivo se incluye mediante `require` en cada solicitud a través de `Database::getDB()`, un atacante puede inyectar código PHP arbitrario que se ejecuta como el usuario del servidor web en cada carga de página subsiguiente. La versión 2.3.6 contiene un parche.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-18

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359066

CPE

listo

EPSS

0.00075

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41229
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41229
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41229/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!