Froxlor — это программное обеспечение для администрирования серверов с открытым исходным кодом. До версии 2.3.5 конечная точка API DomainZones.add (доступная для клиентов с включенным DNS) не проверяет поле содержимого для нескольких типов записей DNS (LOC, RP, SSHFP, TLSA). Злоумышленник может ввести новые строки и директивы файла зоны BIND (например, $INCLUDE) в файл зоны, который записывается на диск при запуске задания cron по перестроению DNS.
Эта проблема исправлена в версии 2.3.5.
Показать оригинальное описание (EN)
Froxlor is open source server administration software. Prior to version 2.3.5, the DomainZones.add API endpoint (accessible to customers with DNS enabled) does not validate the content field for several DNS record types (LOC, RP, SSHFP, TLSA). An attacker can inject newlines and BIND zone file directives (e.g. $INCLUDE) into the zone file that gets written to disk when the DNS rebuild cron job runs. This issue has been patched in version 2.3.5.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Froxlor Froxlor
cpe:2.3:a:froxlor:froxlor:*:*:*:*:*:*:*:*
|
— |
2.3.5
|