anonhaven

CVE-2026-32758

MEDIUM CVSS 3.1: 6,5 EPSS 0.02%
Обновлено 23 марта 2026
Filebrowser
Параметр Значение
CVSS 6,5 (MEDIUM)
Уязвимые версии до 2.62.0
Устранено в версии 2.62.0
Тип уязвимости CWE-863 (Неправильная авторизация), CWE-22 (Обход пути)
Поставщик Filebrowser
Публичный эксплойт Нет

Браузер файлов — это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. Версии 2.61.2 и ниже уязвимы к обходу пути через ресурсPatchHandler (http/resource.go). Путь назначения в resourcesPatchHandler проверяется на соответствие правилам доступа перед очисткой/нормализацией, в то время как фактическая файловая операция после этого вызывает метод path.Clean(), преобразуя последовательности .. в другой эффективный путь.

Это позволяет аутентифицированному пользователю с разрешениями на создание или переименование обходить установленные администратором правила запрета (как на основе префиксов, так и на основе регулярных выражений), вводя последовательности .. в параметр назначения запроса PATCH. В результате пользователь может записывать или перемещать файлы по любому пути, защищенному запрещающими правилами, в пределах своей области действия. Однако это нельзя использовать для выхода из области действия BasePathFs пользователя или для чтения по ограниченным путям.

Эта проблема исправлена ​​в версии 2.62.0.

Показать оригинальное описание (EN)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Versions 2.61.2 and below are vulnerable to Path Traversal through the resourcePatchHandler (http/resource.go). The destination path in resourcePatchHandler is validated against access rules before being cleaned/normalized, while the actual file operation calls path.Clean() afterward—resolving .. sequences into a different effective path. This allows an authenticated user with Create or Rename permissions to bypass administrator-configured deny rules (both prefix-based and regex-based) by injecting .. sequences in the destination parameter of a PATCH request. As a result, the user can write or move files into any deny-rule-protected path within their scope. However, this cannot be used to escape the user's BasePathFs scope or read from restricted paths. This issue has been fixed in version 2.62.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)
CWE-22 Path Traversal (Обход пути)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Filebrowser Filebrowser
cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:*
 2.62.0

Ссылки 3

https://github.com/filebrowser/filebrowser/commit/4bd7d69c82163b201a987e99c0c50…
security-advisories@github.com
https://github.com/filebrowser/filebrowser/releases/tag/v2.62.0
security-advisories@github.com
https://github.com/filebrowser/filebrowser/security/advisories/GHSA-9f3r-2vgw-m…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-35607

Filebrowser

8,8

CVE-2026-35606

Filebrowser

5,3

CVE-2026-35605

Filebrowser

6,3

CVE-2026-35604

Filebrowser

8,2

CVE-2026-35585

Filebrowser

7,5