JVNDB-2026-013530

Froxlorにおけるコードインジェクションの脆弱性

Froxlorはオープンソースのサーバー管理ソフトウェアです。バージョン2.3.6より前の`PhpHelper::parseArrayToString()`は、シングルクォートをエスケープせずにシングルクォートで囲まれたPHPの文字列リテラルに文字列値を記述していました。`change_serversettings`権限を持つ管理者がAPI経由でMySQLサーバーを追加または更新する際、`privileged_user`パラメータ（入力検証なし）がエスケープされずに`lib/userdata.inc.php`に書き込まれます。このファイルは`Database::getDB()`を介してすべてのリクエストで`require`されるため、攻撃者は任意のPHPコードを注入でき、そのコードがウェブサーバーのユーザー権限で後続のページロード時に実行される可能性があります。バージョン2.3.6でこの問題は修正されました。

Froxlor

• Froxlor 2.3.6 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : PHP Code Injection via Unescaped Single Quotes in userdata.inc.php Generation (MysqlServer API)  Advisory  froxlor/froxlor  GitHub

1. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-41229

1. National Vulnerability Database (NVD) : CVE-2026-41229
2. 関連文書 : Release froxlor security release 2.3.6  froxlor/froxlor  GitHub
3. 関連文書 : fix escaping of single-quotes in generation of userdata.inc.php and v…  froxlor/froxlor@3589ddf  GitHub

• [2026年04月30日]
    掲載