FileBrowser Quantum — это бесплатный автономный веб-файловый менеджер. До стабильной версии 1.1.3 и бета-версии 1.2.6, когда пользователи делятся файлами, защищенными паролем, получатель может полностью обойти пароль и по-прежнему загрузить файл. Это происходит потому, что API возвращает прямую ссылку для загрузки в сведениях об общем ресурсе, которая доступна любому, у кого есть ТОЛЬКО ССЫЛКА ПОДЕЛИТЬСЯ, даже без пароля.
Стабильная версия 1.1.3 и бета-версия 1.2.6 устраняют проблему.
Показать оригинальное описание (EN)
FileBrowser Quantum is a free, self-hosted, web-based file manager. Prior to versions 1.1.3-stable and 1.2.6-beta, when users share password-protected files, the recipient can completely bypass the password and still download the file. This happens because the API returns a direct download link in the details of the share, which is accessible to anyone with JUST THE SHARE LINK, even without the password. Versions 1.1.3-stable and 1.2.6-beta fix the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0