Krytyczna luka w Froxlor umożliwiająca wykonanie złośliwego kodu PHP
Krytyczna luka w Froxlor (CVE-2026-41229) pozwala na zdalne wykonanie kodu PHP. Zalecana szybka aktualizacja do wersji 2.3.6 lub nowszej.
- CVSS
- 9.1 CRITICAL
- EPSS
- 37.95%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- froxlor
Co wiadomo
W oprogramowaniu Froxlor przed wersją 2.3.6 funkcja PhpHelper::parseArrayToString() nieprawidłowo obsługuje pojedyncze cudzysłowy w ciągach znaków, co pozwala administratorowi z uprawnieniami change_serversettings na wstrzyknięcie niezweryfikowanego kodu PHP przez parametr privileged_user podczas dodawania lub aktualizacji serwera MySQL. Luka ta umożliwia wykonanie dowolnego kodu PHP z uprawnieniami użytkownika serwera WWW.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do przejęcia kontroli nad serwerem aplikacji, co zagraża integralności i poufności danych oraz stabilności usług. Atakujący może wykonywać dowolne polecenia na serwerze, co stwarza poważne ryzyko dla infrastruktury IT i może skutkować poważnymi stratami biznesowymi.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie oprogramowania Froxlor do wersji 2.3.6 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz dostęp do API dla administratorów oraz monitoruj logi pod kątem podejrzanych działań. Przeanalizuj konfigurację serwera i rozważ dodatkowe zabezpieczenia ograniczające możliwość wstrzyknięcia kodu.