CVE-2026-41234 in Froxlor
요약
\~에 의해 VulDB • 2026. 06. 04.
Froxlor은 오픈 소스 서버 관리 소프트웨어입니다. 버전 2.3.7 이전의 `DomainZones.add` API 엔드포인트는 TXT 레코드 콘텐츠의 줄바꿈 문자를 제거하지 않습니다. DNS 편집 권한이 활성화된 인증된 사용자는 TXT 레코드 값에 줄바꿈을 삽입하여 생성된 BIND 존 파일에서 레코드 라인 밖으로 탈출할 수 있습니다. 이를 통해 DNS 재구축 크론이 디스크에 작성하는 존 파일에 임의의 BIND 지시문(`$INCLUDE`, `$GENERATE`) 및 임의의 DNS 레코드(A, MX, CNAME)를 삽입할 수 있습니다. 이는 CVE-2026-30932 (GHSA-x6w6-2xwp-3jh6)에 대한 불완전한 수정으로, 해당 CVE는 LOC, RP, SSHFP 및 TLSA 레코드 유형의 동일한 줄바꿈 삽입을 패치했지만 TXT 레코드는 패치하지 않았습니다. 버전 2.3.7에는 업데이트된 패치가 포함되어 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.