CVE-2026-41229 in Froxlorinformation

Résumé

par VulDB • 25/05/2026

Froxlor est un logiciel open source d'administration de serveurs. Avant la version 2.3.6, `PhpHelper::parseArrayToString()` écrit des valeurs de chaîne dans des littéraux de chaînes PHP entre guillemets simples sans échapper les guillemets simples. Lorsqu'un administrateur disposant de la permission `change_serversettings` ajoute ou met à jour un serveur MySQL via l'API, le paramètre `privileged_user` (qui ne fait l'objet d'aucune validation des entrées) est écrit sans échappement dans `lib/userdata.inc.php`. Étant donné que ce fichier est inclus via `require` à chaque requête par l'intermédiaire de `Database::getDB()`, un attaquant peut injecter du code PHP arbitraire qui s'exécute en tant qu'utilisateur du serveur web à chaque chargement de page ultérieur. La version 2.3.6 contient un correctif.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

18/04/2026

Divulgation

23/04/2026

Modérer

accepté

Entrée

VDB-359066

CPE

prêt

EPSS

0.00075

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41229
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41229
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41229/

PrécédentAperçuSuivant

Interested in the pricing of exploits?

See the underground prices here!