Vulnerabilidad en Froxlor (CVE-2026-26279)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

03/03/2026

Última modificación:

05/03/2026

Descripción

Froxlor es software de administración de servidor de código abierto. Antes de la versión 2.3.4, un error tipográfico en el código de validación de entrada de Froxlor (== en lugar de =) deshabilita completamente la verificación del formato de correo electrónico para todos los campos de configuración declarados como tipo de correo electrónico. Esto permite a un administrador autenticado almacenar cadenas arbitrarias en la configuración panel.adminmail. Este valor se concatena posteriormente en un comando de shell ejecutado como root por una tarea cron, donde el carácter de tubería | está explícitamente en la lista blanca. El resultado es una ejecución remota de código completa a nivel de root. Esta vulnerabilidad se corrige en la versión 2.3.4.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto