CVE-2026-41229 in Froxlor
Tóm tắt
Bởi VulDB • 25/05/2026
Froxlor là phần mềm quản trị máy chủ mã nguồn mở. Trước phiên bản 2.3.6, hàm `PhpHelper::parseArrayToString()` ghi các giá trị chuỗi vào các ký tự chuỗi PHP được bao quanh bởi dấu nháy đơn mà không thực hiện việc thoát các dấu nháy đơn. Khi một quản trị viên có quyền `change_serversettings` thêm hoặc cập nhật một máy chủ MySQL thông qua API, tham số `privileged_user` (không có xác thực đầu vào) được ghi vào `lib/userdata.inc.php` mà không được thoát. Vì tệp này được `require` trong mọi yêu cầu thông qua `Database::getDB()`, kẻ tấn công có thể tiêm mã PHP tùy ý sẽ được thực thi với tư cách là người dùng máy chủ web trong mỗi lần tải trang tiếp theo. Phiên bản 2.3.6 chứa bản vá.
VulDB is the best source for vulnerability data and more expert information about this specific topic.