Браузер файлов — это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. В версиях 2.61.2 и ниже обработчик возобновляемой загрузки TUS анализирует заголовок Upload-Length как 64-битное целое число со знаком, не проверяя, что значение не является отрицательным, что позволяет аутентифицированному пользователю предоставить отрицательное значение, которое мгновенно удовлетворяет условию завершения загрузки при первом запросе PATCH. Это приводит к тому, что сервер запускает перехваты exec after_upload с пустыми или неполными файлами, позволяя злоумышленнику неоднократно запускать любой настроенный перехват с произвольными именами файлов и записанными нулевыми байтами.
Воздействие варьируется от DoS через дорогостоящие перехватчики обработки до усиления внедрения команд в сочетании с вредоносными именами файлов и злоупотреблений рабочими процессами, управляемыми загрузкой, такими как прием S3 или вставка в базу данных. Даже без включенных перехватчиков exec отрицательное значение Upload-Length создает противоречивые записи в кэше, где файлы помечаются как завершенные, но не содержат данных. Это затрагивает все развертывания, использующие конечную точку загрузки TUS (/api/tus), а флаг EnableExec увеличивает влияние несогласованности кэша на удаленное выполнение команд.
На момент публикации не было патчей или средств устранения этой проблемы.
Показать оригинальное описание (EN)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. In versions 2.61.2 and below, the TUS resumable upload handler parses the Upload-Length header as a signed 64-bit integer without validating that the value is non-negative, allowing an authenticated user to supply a negative value that instantly satisfies the upload completion condition upon the first PATCH request. This causes the server to fire after_upload exec hooks with empty or partial files, enabling an attacker to repeatedly trigger any configured hook with arbitrary filenames and zero bytes written. The impact ranges from DoS through expensive processing hooks, to command injection amplification when combined with malicious filenames, to abuse of upload-driven workflows like S3 ingestion or database inserts. Even without exec hooks enabled, the negative Upload-Length creates inconsistent cache entries where files are marked complete but contain no data. All deployments using the TUS upload endpoint (/api/tus) are affected, with the enableExec flag escalating the impact from cache inconsistency to remote command execution. At the time of publication, no patch or mitigation was available to address this issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Filebrowser Filebrowser
cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:*
|
— |
<= 2.61.2
|