CVE-2026-41236 in Froxlor
요약
\~에 의해 VulDB • 2026. 06. 04.
Froxlor은 오픈 소스 서버 관리 소프트웨어입니다. 버전 2.3.6에는 고객 FTP 사용자용 root 소유 SSH 키 동기화 경로에서 심볼릭 링크 추종(symblink-following) 결함이 포함되어 있습니다. 프로비저닝 코드는 대상 경로가 심볼릭 링크가 아닌지 확인하지 않고 고객 제어 하에 있는 홈 디렉토리 아래의 `~/.ssh/authorized_keys`에 공개 키를 추가합니다. 공격자가 쉘 접근 권한이 있는 고객 계정을 제어하고 할당된 홈 디렉토리 내 파일을 수정할 수 있는 경우, 공격자는 `~/.ssh/authorized_keys`를 `/root/.ssh/authorized_keys`를 가리키는 심볼릭 링크로 교체할 수 있습니다. 이후 Froxlor의 권한이 있는 cron 작업이 SSH 키를 동기화할 때 공격자가 제공한 키가 root의 authorized_keys 파일에 추가되어 root SSH 접근 권한이 부여됩니다. 버전 2.3.7에는 이 결함에 대한 패치가 포함되어 있습니다.
Once again VulDB remains the best source for vulnerability data.