Браузер файлов — это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. Версии 2.61.0 и ниже содержат обход принудительного применения разрешений, который позволяет пользователям, которым отказано в правах на загрузку (perm.download = false), но предоставлены привилегии общего доступа (perm.share = true), удалять содержимое файла путем создания общедоступных ссылок. Хотя конечная точка прямой необработанной загрузки (/api/raw/) правильно обеспечивает разрешение на загрузку, конечная точка создания общего ресурса проверяет только Perm.Share, а общедоступный обработчик загрузки (/api/public/dl/<hash>) обслуживает содержимое файла, не проверяя, имеет ли исходный владелец файла разрешение на загрузку.
Это означает, что любой прошедший проверку подлинности пользователь с общим доступом может обойти ограничения на загрузку, поделившись файлом и затем получив его через неаутентифицированный общедоступный URL-адрес загрузки. Эта уязвимость подрывает политику предотвращения потери данных и разделения ролей, поскольку пользователи с ограниченными правами могут публично распространять файлы, загрузка которых им явно запрещена. Эта проблема исправлена в версии 2.62.0.
Показать оригинальное описание (EN)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Versions 2.61.0 and below contain a permission enforcement bypass which allows users who are denied download privileges (perm.download = false) but granted share privileges (perm.share = true) to exfiltrate file content by creating public share links. While the direct raw download endpoint (/api/raw/) correctly enforces the download permission, the share creation endpoint only checks Perm.Share, and the public download handler (/api/public/dl/<hash>) serves file content without verifying that the original file owner has download permission. This means any authenticated user with share access can circumvent download restrictions by sharing a file and then retrieving it via the unauthenticated public download URL. The vulnerability undermines data-loss prevention and role-separation policies, as restricted users can publicly distribute files they are explicitly blocked from downloading directly. This issue has been fixed in version 2.62.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Filebrowser Filebrowser
cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:*
|
— |
2.62.0
|