Браузер файлов — это интерфейс управления файлами для загрузки, удаления, предварительного просмотра, переименования и редактирования файлов в указанном каталоге. До версии 2.63.1 функция Matches() в файле Rules/rules.go использовала strings.HasPrefix() без завершающего разделителя каталогов при сопоставлении путей с правилами доступа. Правило для /uploads также соответствует /uploads_backup/, предоставляя или запрещая доступ к непредусмотренным каталогам.
Эта уязвимость исправлена в версии 2.63.1.
Показать оригинальное описание (EN)
File Browser is a file managing interface for uploading, deleting, previewing, renaming, and editing files within a specified directory. Prior to 2.63.1, the Matches() function in rules/rules.go uses strings.HasPrefix() without a trailing directory separator when matching paths against access rules. A rule for /uploads also matches /uploads_backup/, granting or denying access to unintended directories. This vulnerability is fixed in 2.63.1.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Filebrowser Filebrowser
cpe:2.3:a:filebrowser:filebrowser:*:*:*:*:*:*:*:*
|
— |
2.63.1
|