CVE-2026-41231

Name of the Vulnerable Software and Affected Versions Froxlor versões anteriores a 2.3.6

Description A função DataDump.add() constrói o caminho de destino da exportação usando entrada fornecida pelo usuário, mas não passa o parâmetro $fixed homedir para FileDir::makeCorrectDir(). Essa omissão ignora a validação de symlink. Quando o processo ExportCron é executado com privilégios de root, ele executa chown -R no alvo do symlink resolvido, o que permite que um cliente assuma a propriedade de diretórios arbitrários no sistema.

Recommendations Atualizar para a versão 2.3.6.