Krytyczna luka w Froxlor umożliwiająca wykonanie złośliwego kodu PHP

Krytyczna luka w Froxlor (CVE-2026-41229) pozwala na zdalne wykonanie kodu PHP. Zalecana szybka aktualizacja do wersji 2.3.6 lub nowszej.
CVE-2026-41229CVSS 9.1Database

Krytyczna luka w Froxlor umożliwiająca wykonanie złośliwego kodu PHP

Krytyczna luka w Froxlor (CVE-2026-41229) pozwala na zdalne wykonanie kodu PHP. Zalecana szybka aktualizacja do wersji 2.3.6 lub nowszej.

CVSS
9.1 CRITICAL
EPSS
37.95%
Aktywnie wykorzystywana
brak w KEV
Produkt
froxlor

Co wiadomo

W oprogramowaniu Froxlor przed wersją 2.3.6 funkcja PhpHelper::parseArrayToString() nieprawidłowo obsługuje pojedyncze cudzysłowy w ciągach znaków, co pozwala administratorowi z uprawnieniami change_serversettings na wstrzyknięcie niezweryfikowanego kodu PHP przez parametr privileged_user podczas dodawania lub aktualizacji serwera MySQL. Luka ta umożliwia wykonanie dowolnego kodu PHP z uprawnieniami użytkownika serwera WWW.

Wpływ biznesowy

Eksploatacja tej luki może prowadzić do przejęcia kontroli nad serwerem aplikacji, co zagraża integralności i poufności danych oraz stabilności usług. Atakujący może wykonywać dowolne polecenia na serwerze, co stwarza poważne ryzyko dla infrastruktury IT i może skutkować poważnymi stratami biznesowymi.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie oprogramowania Froxlor do wersji 2.3.6 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do API dla administratorów oraz monitoruj logi pod kątem podejrzanych działań. Przeanalizuj konfigurację serwera i rozważ dodatkowe zabezpieczenia ograniczające możliwość wstrzyknięcia kodu.

Źródła