CVE-2026-41230

Name of the Vulnerable Software and Affected Versions Froxlor versões anteriores a 2.3.6

Description A função DomainZones::add() aceita tipos de registros DNS arbitrários sem uma lista de permissões e não sanitiza caracteres de nova linha na variável content. Quando um tipo de DNS não coberto pela cadeia de validação é enviado, como NAPTR, PTR ou HINFO, a validação do conteúdo é ignorada. Caracteres de nova linha são armazenados no banco de dados e gravados nos arquivos de zona BIND através da função DnsEntry:: toString(). Isso permite que um cliente autenticado injete registros DNS arbitrários e diretivas BIND, incluindo $INCLUDE, $ORIGIN e $GENERATE, no arquivo de zona de seu domínio.

Recommendations Atualizar para a versão 2.3.6.