漏洞总结:Froxlor Local File Inclusion (LFI) 导致远程代码执行 (RCE) 漏洞概述 漏洞类型:本地文件包含 (LFI) 导致远程代码执行 (RCE)。 漏洞成因:API 端点 和 中的 参数未进行有效验证,允许路径遍历序列。该参数被存储到数据库中,并在后续请求中被 函数直接使用,导致任意 PHP 代码执行。 受影响版本:Froxlor <= 2.3.5 修复版本:2.3.6 影响范围 严重性:Critical (CVSS v3 10.0/10) 攻击向量:网络 攻击复杂度:低 权限要求:低 (需要认证用户) 影响: 完全服务器控制:读取 获取数据库凭据,访问所有客户数据、管理员凭据和服务器配置。 横向移动:访问其他客户的数据库、邮件和共享托管环境文件。 持久后门:修改 Froxlor 源文件或 cron 配置以维持访问。 数据泄露:读取所有托管数据库和包含面板的电子邮件内容。 修复方案 1. 验证 参数:在 API 端点 ( 和 ) 中,使用与 Web UI 一致的验证逻辑,确保参数匹配实际可用的语言文件列表。 2. 添加防御性检查:在 函数中添加检查,拒绝包含 的路径遍历尝试。 POC 代码 Step 1 — 通过 FTP 上传恶意语言文件 Step 2 — 通过 API 设置遍历载荷 Step 3 — 在下一个 API 调用触发包含 Step 4 — 验证执行**