CVE-2026-41235

Nome do Software Vulnerável e Versões Afetadas Froxlor versões anteriores a 2.3.7

Descrição Existe um problema onde os manipuladores de conta FTP do lado do servidor não aplicam a lista de permissões system.available shells ao processar solicitações de adição ou edição. Isso permite que um cliente autenticado com delegação de shell habilitada envie um shell arbitrário, como /bin/bash, ignorando as opções restritas apresentadas na interface do painel. Em implantações que utilizam a integração padrão nssextrausers, o shell controlado pelo invasor é propagado para o banco de dados de contas do sistema, concedendo acesso real ao shell do host. A falha ocorre porque as funções Ftps::add() e Ftps::update() realizam apenas uma validação genérica de string em vez de verificar o shell na lista aprovada. Isso pode ser explorado através do endpoint /customer ftp.php manipulando o parâmetro shell.

Recomendações Atualize para a versão 2.3.7. Como medida paliativa temporária, restrinja o uso do parâmetro shell no endpoint /customer ftp.php ou desabilite a delegação de shell do cliente definindo system.allow customer shell como 0.