PT-2026-34638 · Froxlor · Froxlor
Offset
·
Publicado
2026-04-16
·
Atualizado
2026-04-23
·
CVE-2026-41233
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L |
Name of the Vulnerable Software and Affected Versions
Froxlor versões anteriores a 2.3.6
Description
Na função
Domains.add(), o parâmetro adminid é aceito a partir da entrada do usuário sem validação quando o revendedor solicitante não possui a permissão customers see all. Isso permite que um revendedor atribua domínios recém-criados a qualquer outro administrador, ignorando sua própria cota de domínios ao incrementar o contador domains used de outro administrador, o que pode levar ao esgotamento da cota desse administrador.Recommendations
Atualizar para a versão 2.3.6.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Froxlor