CVE-2026-41237

Nome do Software Vulnerável e Versões Afetadas Froxlor versões 2.3.6 e anteriores

Descrição O conteúdo dos registros DNS é concatenado diretamente nos arquivos de zona do bind9 no arquivo DnsEntry.php, o que permite a injeção de arquivos de zona. O problema decorre da validação incompleta de registros LOC, RP, SSHFP e TLSA. Especificamente, a expressão regular do registro LOC utiliza s+, que corresponde a novas linhas e permite que novas linhas incorporadas passem pela validação. Além disso, registros TLSA com matchingType=0 não possuem um limite superior para o comprimento dos dados hexadecimais, potencialmente permitindo a amplificação de DNS ou exfiltração de dados. Todos os validadores retornam a entrada bruta sem a codificação de arquivo de zona, permitindo que usuários autenticados com permissões de gerenciamento de DNS injetem registros arbitrários nos arquivos de zona, o que pode levar ao sequestro de domínios ou phishing.

Recomendações Para as versões 2.3.6 e anteriores, atualize para a versão 2.3.7. Substitua s+ na regex do LOC por [ t]+ para excluir novas linhas. Implemente um comprimento máximo para os dados do TLSA matchingType=0. Codifique ou rejeite novas linhas em todo o conteúdo de registros DNS antes de gravá-los nos arquivos de zona.