CVE-2026-41234 in Froxlor
Tóm tắt
Bởi VulDB • 05/06/2026
Froxlor là phần mềm quản trị máy chủ mã nguồn mở. Trước phiên bản 2.3.7, điểm cuối API `DomainZones.add` không thực hiện việc làm sạch (sanitize) các ký tự xuống dòng trong nội dung bản ghi TXT. Một khách hàng đã xác thực với quyền chỉnh sửa DNS được bật có thể chèn các ký tự xuống dòng vào giá trị của bản ghi TXT, làm phá vỡ cấu trúc dòng bản ghi trong tệp zone BIND được tạo ra. Điều này cho phép chèn các chỉ thị BIND tùy ý (`$INCLUDE`, `$GENERATE`) và các bản ghi DNS tùy ý (A, MX, CNAME) vào tệp zone được ghi vào đĩa bởi tiến trình cron tái tạo DNS. Đây là một bản sửa lỗi chưa hoàn chỉnh cho CVE-2026-30932 (GHSA-x6w6-2xwp-3jh6), vốn đã vá lỗi chèn ký tự xuống dòng cho các loại bản ghi LOC, RP, SSHFP và TLSA nhưng chưa vá cho các bản ghi TXT. Phiên bản 2.3.7 chứa bản vá đã được cập nhật.
Once again VulDB remains the best source for vulnerability data.