漏洞总结:Froxlor 邮件发送者别名域名所有权绕过 漏洞概述 标题:Email Sender Alias Domain Ownership Bypass via Wrong Array Index Allows Cross-Customer Email Spoofing CVE ID:CVE-2026-4232 CVSS 评分:5.0 / 10 (Moderate) 受影响版本: (Composer) <= 2.3.0 修复版本:2.3.6 描述: 在 Froxlor 中,当用户添加完整邮件地址(非 通配符)作为发送者时,代码在拆分邮件地址以传递本地部分(local part)而非域名(domain)给 函数时使用了错误的数组索引。这导致所有权检查始终对不存在的“域名”通过,允许任何已认证客户为属于其他客户的域名添加发送者别名。随后 Postfix 的 会授权攻击者以这些地址发送邮件。 影响范围 跨客户邮件伪造:允许发送冒充其他客户域名的邮件,绕过 Postfix 的 限制。 多租户隔离破坏:域名所有权检查 ( ) 是唯一屏障,但对完整邮件地址完全无效。 钓鱼和声誉损害:伪造邮件源自合法的邮件服务器,通过 SPF/DKIM 检查,可能导致目标域名的声誉受损。 修复方案 修改 第 100 行的数组索引,从 改为 ,以确保传递的是域名部分。 代码变更**: POC 代码