anonhaven

CVE-2026-32760

CRITICAL CVSS 4.0: 10,0 EPSS 0.02%
Обновлено 23 марта 2026
Filebrowser
Параметр Значение
CVSS 10,0 (CRITICAL)
Уязвимые версии до 2.62.0
Устранено в версии 2.62.0
Тип уязвимости CWE-284 (Неправильный контроль доступа), CWE-269 (Неправильное управление привилегиями)
Поставщик Filebrowser
Публичный эксплойт Нет

Браузер файлов — это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. В версиях 2.61.2 и ниже любой неаутентифицированный посетитель может зарегистрировать полную учетную запись администратора, если включена саморегистрация (signup = true) и разрешения пользователя по умолчанию имеют perm.admin = true. Обработчик регистрации слепо применяет все настройки по умолчанию (включая Perm.Admin) к новому пользователю без какой-либо защиты на стороне сервера, которая лишает администратора доступа к самостоятельно зарегистрированным учетным записям. SignupHandler должен создавать непривилегированные учетные записи для новых посетителей.

Он не содержит явного user.Perm.Admin = ложного сброса после применения значений по умолчанию. Если администратор (намеренно или случайно) настраивает defaults.perm.admin = true, а также разрешает регистрацию, каждая учетная запись, созданная через конечную точку общедоступной регистрации, является администратором с полным контролем над всеми файлами, пользователями и настройками сервера. Эта проблема решена в версии 2.62.0.

Показать оригинальное описание (EN)

File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. In versions 2.61.2 and below, any unauthenticated visitor can register a full administrator account when self-registration (signup = true) is enabled and the default user permissions have perm.admin = true. The signup handler blindly applies all default settings (including Perm.Admin) to the new user without any server-side guard that strips admin from self-registered accounts. The signupHandler is supposed to create unprivileged accounts for new visitors. It contains no explicit user.Perm.Admin = false reset after applying defaults. If an administrator (intentionally or accidentally) configures defaults.perm.admin = true and also enables signup, every account created via the public registration endpoint is an administrator with full control over all files, users, and server settings. This issue has been resolved in version 2.62.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-284 Improper Access Control (Неправильный контроль доступа)
CWE-269 Improper Privilege Management (Неправильное управление привилегиями)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Filebrowser Filebrowser
cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:*
 2.62.0

Ссылки 3

https://github.com/filebrowser/filebrowser/commit/a63573b67eb302167b4c4f218361a…
security-advisories@github.com
https://github.com/filebrowser/filebrowser/releases/tag/v2.62.0
security-advisories@github.com
https://github.com/filebrowser/filebrowser/security/advisories/GHSA-5gg9-5g7w-h…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-35607

Filebrowser

8,8

CVE-2026-35606

Filebrowser

5,3

CVE-2026-35605

Filebrowser

6,3

CVE-2026-35604

Filebrowser

8,2

CVE-2026-35585

Filebrowser

7,5