CVE-2026-41235 in Froxlor
要約
〜によって VulDB • 2026年06月05日
Froxlorはオープンソースのサーバー管理ソフトウェアです。バージョン2.3.6では、管理者が`system.available_shells`を設定して、FTPユーザーに割り当て可能なシェルの一覧(ホワイトリスト)を定義できます。しかし、サーバー側のFTPアカウントハンドラーは、追加または編集リクエストを処理する際にこのホワイトリストを強制しません。その結果、シェル委任が有効になっている認証済み顧客は、パネルUIでより制限された選択肢しか提供されていない場合でも、`/bin/bash`などの任意のシェルを指定できます。デフォルトの`nssextrausers`統合を使用している環境では、攻撃者が制御するシェルがシステムアカウントデータベースに反映され、実際のホストシェルアクセスが可能になります。この問題はバージョン2.3.7で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.