php · froxlor/froxlorCrítico
froxlor: Injeção de registros DNS via DomainZones.add
O endpoint DomainZones.add não sanitiza caracteres de nova linha no conteúdo de registros TXT, permitindo injeção de diretivas BIND arbitrárias e registros DNS
O que mudou
O endpoint DomainZones.add não sanitiza caracteres de nova linha no conteúdo de registros TXT, permitindo injeção de diretivas BIND arbitrárias e registros DNS em arquivos de zona.
Quem isso afeta
Instâncias do Froxlor com DNS habilitado (system.bind_enable=1, system.dnsenabled=1) e clientes autenticados com permissões de edição de DNS.
O que fazer hoje
Aplique a correção sugerida: remova newlines e carriage returns do conteúdo TXT em DomainZones.php, ou atualize para uma versão corrigida quando disponível.
A esteira
Coletado→
Auditado→
Redigido→
Publicado