CVE-2026-41232Froxlor是一款开源服务器管理软件。在2.3.6版本之前,EmailSender::add()方法中存在逻辑错误。验证域名所有权时使用了错误的数组索引,导致将邮件地址的本地部分而非域名部分传递给验证函数。这使得任何经过身份认证的客户都能绕过检查,为其他客户的域名添加发件人别名,进而利用Postfix的sender_login_maps机制伪造发件人身份发送邮件。
该漏洞源于Froxlor源代码中EmailSender类的add()方法。该方法本应验证用户是否有权在特定域名下添加发件人别名。然而,代码逻辑在处理字符串分割(例如explode('@', $email))时,错误地选取了数组索引。假设正确的域名部分是索引1,代码却使用了索引0(即@符号前的用户名部分)。因此,validateLocalDomainOwnership()函数接收到了不存在的“域名”(即用户名)进行验证。由于该“域名”不存在,验证逻辑可能返回默认允许或绕过了严格的检查,导致校验永远通过。利用过程如下:攻击者首先注册一个合法账户并登录。随后,通过向EmailSender接口发送特制请求,指定目标受害者的域名作为发送者别名(例如[email protected])。由于上述漏洞,服务器误认为攻击者拥有对该域名的所有权,从而成功添加别名。最后,攻击者配置Postfix利用sender_login_maps,即可通过该邮件服务器对外发送伪装成[email protected]的邮件。